Lo scorso attacco su larga scala assestato contro l’App Store di Apple vedeva come “protagonista” un particolare SDK cinese, reo di aver iniettato del codice nelle app create dagli (inconsapevoli) sviluppatori e di essere sfuggito per qualche giorno ai controlli effettuati dal colosso di Cupertino per l’accettazione di nuove app.
A quanto pare la storia si sarebbe ripetuta, con una dinamica simile ma con gravità e conseguenze ben differenti: Apple ha eliminato oltre 250 app dall’App Store poiché, silenziosamente, tali app accedevano alle informazioni personali degli utenti.
Poiché il kit di sviluppo offerto da Youmi carica le informazioni prelevate sui propri server e non su quelli dell’app, è facile pensare – ed anche SourceDNA, il cui team ha scoperto per primo questo problema, concorda – che gli sviluppatori siano completamente inconsapevoli del rischio a cui hanno esposto l’utente:
Siamo convinti che gli sviluppatori non siano al corrente di questo [problema] poiché questo SDK è offerto in formato binario, offuscato, e le informazioni dell’utente vengono caricate sul server di Youmi, non su quello dell’app. Raccomandiamo agli sviluppatori di smettere di usare tale SDK finché quel codice non sia stato rimosso.
Non è chiaro come abbiano fatto queste app a passare i controlli imposti da Apple, d’altro canto in SourceDNA si pensa che sia la modalità di “evasione” sia quella di accesso a dati dell’utente che presumibilmente soltanto Apple è in grado di vedere siano state frutto di uno studio durato anni.
Apple ha inoltre confermato che tutte le altre app che useranno Youmi come SDK per lo sviluppo saranno rifiutate a priori:
Si tratta di una violazione delle nostre linee guida su sicurezza e privacy. Le app che usano il SDK di Youmi sono state rimosse da App Store e qualsiasi nuova app scritta usando questo SDK sarà rifiutata. Stiamo lavorando a stretto contatto con gli sviluppatori per aiutarli ad ottenere versioni aggiornate delle loro app da reinserire nell’App Store, che siano sicure per gli utenti e che sottostiano alle nostre linee guida.