秘密裏に個人情報を収集していたとして、250以上のiOSアプリがApp Storeから削除される

By Omar Jordan Fawahl

中国のモバイル広告プロバイダーが開発した広告SDKを利用する256個のアプリがユーザーの個人情報を秘密裏に収集していることを、コードの透明性を維持するために活動している「SourceDNA」が発見しました。広告SDKを使用しているアプリ開発者もこの事実を知らなかった可能性があるとのことですが、Appleはこの事態を受けて対象となるアプリを全てApp Storeから削除しています。

iOS Apps Caught Using Private APIs
https://sourcedna.com/blog/20151018/ios-apps-using-private-apis.html

Apple bans over 250 apps that secretly accessed users’ personal info | The Verge
http://www.theverge.com/2015/10/19/9567447/apple-banned-apps-youmi-privacy-personal-data

ユーザーの個人情報を秘密裏に集める広告SDKを開発したのは、中国の「Youmi」と呼ばれる広告プロバイダー。この広告SDKが収集していたのは、広告SDKを使用していたアプリをインストールしたユーザーの「Apple ID」「端末のシリアルナンバー」「周辺端末のシリアルナンバー」「端末にインストールされたアプリケーションのリスト」で、収集したデータはYoumiのサーバーに送信されていたそうです。なお、この広告SDKを採用していたアプリは全部で256個もあり、総ダウンロード数は100万回を超えているそうです。ただし、これを採用したアプリのほとんどは中国のデベロッパーにより作成されたアプリとのこと。

By Integrated Change

Youmiの個人情報を収集するSDKを発見したのはSourceDNAで、プライベートAPIの使用法を調査する中で不審なアプリを発見し、広告SDKが個人情報をひっそりと収集していることを見つけたそうです。なお、SDKがどうやってApp Storeの審査をクリアしたのかは不明瞭ですが、SourceDNAは、Youmiが何年にもわたってAppleの制限されたAPIの中で個人情報を収集する方法を試行錯誤してきたに違いない、としています。

また、AppleはiOSやOS X向けのアプリ開発では基本的に同社が用意したAPIを使用することをデベロッパーに推奨しています。プライベートAPIの使用はシリアルナンバーをアプリに抜かれることを防ぐためでもあったようですが、Youmiの広告SDKに含まれていたプライベートAPIは、バッテリーシステムなどの周辺機器の情報を先に得ることで審査の目ををかいくぐっていたとのことです。

このSDKについてAppleは以下の声明を出し、ユーザーの個人情報を収集してしまう256個のアプリをApp Storeから削除したことを発表しています。

We’ve identified a group of apps that are using a third-party advertising SDK, developed by Youmi, a mobile advertising provider, that uses private APIs to gather private information, such as user email addresses and device identifiers, and route data to its company server.

This is a violation of our security and privacy guidelines. The apps using Youmi’s SDK have been removed from the App Store and any new apps submitted to the App Store using this SDK will be rejected. We are working closely with developers to help them get updated versions of their apps that are safe for customers and in compliance with our guidelines back in the App Store quickly.

我々は多くのアプリが、モバイル広告プロバイダーであるYoumiの開発したサードパーティーの広告SDKを使用していることを特定しました。このSDKはプライベートAPIを使ってユーザーの電子メールアドレスやデバイスIDなどの個人情報を収集し、同社の企業サーバーにデータを転送しています。

これは、我々のセキュリティおよびプライバシーに関するガイドラインに違反しています。よって、YoumiのSDKを使用しているアプリをApp Storeから削除しました。また、今後App Storeに提出される新しいアプリがこのSDKを使用している場合、それらのアプリも全て却下されます。なお、顧客にとって安全で我々のガイドラインに従ったものにいち早くアップデートできるように、我々はデベロッパーと仕事に取り組んでいます。