秘密上傳用戶資料 逾 250 款 iOS App 遭下架

Apple 昨日宣布從 App Store 中移除超過 250 款 iOS 應用程式。根據流動資訊安全公司 SourceDNA 的分析報告指,所有遭 Apple Store 下架的應用程式是因為使用了中國流動平台廣告公司 — 有米的軟件開發工具(Software Development Kit, SDK),使用該 SDK 開發的應用程式會暗中蒐集用戶資料,並秘密傳送回有米的伺服器。

Apple 昨日宣布從 App Store 中移除超過 250 款 iOS 應用程式。根據流動資訊安全公司 SourceDNA 的分析報告指,所有遭 Apple Store 下架的應用程式是因為使用了中國流動平台廣告公司 — 有米的軟件開發工具(Software Development Kit, SDK),使用該 SDK 開發的應用程式會暗中蒐集用戶資料,並秘密傳送回有米的伺服器。

 

收集用戶資料秘密上傳 受影響應用多為中國開發

據 SourceDNA  提供的數據顯示,遭下架的應用程式總計有超過 100 萬下載次數,目前受影響用戶的具體數字仍未清楚。分析報告中指出,使用有米 SDK 開發的應用程式,會暗中蒐集用戶的個人資料,例如電郵地址、Apple ID、裝置序號(Serial Numbers),甚至是手機中已安裝應用程式的詳細清單。

而今次被發現使用有米 SDK 的應用程式,絕大部分是由中國的開發者開發,他們未必知道違反了 Apple 在安全和私隱方面的指引,也可能沒有留意到使用該 SDK 會將用戶的資料蒐集並上傳到有米的伺服器中。SourceDNA  建議開發者停用該 SDK 直至內部違反指引的代碼被移除。

 

Apple 強調不容違反指引 有米承諾向開發者提供賠償

Apple 就今次事件發表聲明指,Apple 發現有部分應用程式使用了有米流動廣告平台所開發的 SDK,利用 Private APIs 收集用戶資料並傳送回該公司的伺服器,這明顯違反了 Apple 的安全和私隱指引。

因此所有使用有米 SDK 的應用程式已從 App Store 下架,而仍在使用該 SDK 的應用程式的上架要求亦會被駁回。Apple 亦表示目前已與受影響的開發者聯絡,幫助他們更新應用程式以符合指引,盡快重新上架。

而有米方面亦作出回應,指目前已積極和 Apple 官方溝通,期望盡快解決事件。建議開發者先移除有米 SDK 再申請上架,並承諾會對受影響的應用程式和開發者提供合理的賠償方案。

 

Source: The Verge  SourceDNA  Youmi