Phát hiện hơn 250 iOS App sử dụng API riêng thu thập dữ liệu người dùng

Apple hiện đang dọn dẹp iTunes App Store – lần thứ ba trong hai tháng – sau khi phát hiện hàng loạt ứng dụng iOS bí mật thu thập dữ liệu riêng tư của người dùng.

Hơn 250 ứng dụng iOS đã vi phạm quyền riêng tư App Store của Apple, thu thập dữ liệu cá nhân của hàng triệu người dùng từng tải về ứng dụng độc hại.

Những ứng dụng này đã bị gỡ bỏ khỏi App Store sau khi dịch vụ phân tích SourceDNA báo cáo lên Apple. Sau XcodeGhost, đây là lần thứ hai Apple phải dọn dẹp lại trung tâm ứng dụng của mình.

Ứng dụng độc hại được phát triển bởi bộ công cụ phát triển phần mềm  (SDK) bên thứ ba cung cấp bởi Youmi, một công ty quảng cáo Trung Quốc. Sau khi đã biên dịch và phân phối trên App Store chính thức, những ứng dụng này sẽ bí mật truy cập và lưu lại dữ liệu cá nhân, bao gồm:

• Danh sách ứng dụng đã cài đặt
• Serial number của iPhone hoặc iPad
• Danh sách thành phần phần cứng trên iPhone hoặc iPad chạy phiên bản mới iOS cùng với serial number
• Địa chỉ email kết nối với tài khoản Apple ID của người dùng

Thậm chí lập trình viên không có chủ đích thu thập dữ liệu người dùng cũng không biết được ứng dụng của mình đang làm điều đó. Apple khuyến cáo dừng ngay lập tức SDK do Youmi phát triển. Mối quan tâm chính hiện nay là sau khi phát hiện ra malware XcodeGhost, quy trình của Apple không thể phát hiện được thêm mối đe dọa nào khác, hoàn toàn phụ thuộc vào bên thứ ba.

Trong một thông báo chính thức, Apple đã gỡ bỏ hoàn toàn các ứng dụng sử dụng SDK Youmi. Công ty cũng đang làm việc với các nhà phát triển nhằm đảm bảo ứng dụng của họ tuân thủ theo quy tắc của App Store.