Apple supprime 256 applications de l'App Store pour vol de données personnelles

Apple supprime 256 applications de l’App Store pour vol de données personnelles

Encore un souci de validation

Avatar de l'auteur

Vincent Hermann

Publié dansSociété numérique

20/10/2015
42
Apple supprime 256 applications de l'App Store pour vol de données personnelles

Apple a procédé récemment au retrait de plus de 250 applications de son App Store. Il a été découvert qu’elles se servaient d’un kit de développement non conforme, faisant appel à des API privées et réservées à la firme, et volaient des informations personnelles. La question de la validation sur le Store se pose une nouvelle fois.

Il existe de nombreuses règles à respecter pour qu’une application soit publiée sur l’App Store. Le développeur ou l’entreprise doit avant tout utiliser le SDK (Software Development Kit) officiel, fourni par Apple avec Xcode. Le kit de développement donne accès à un grand nombre d’API (Application Programming Interface), mais d’autres existent, à l’usage exclusif d’Apple. Ces API sont considérées comme privées. Elles sont techniquement accessibles (quand on les trouve), mais la firme n’en autorise pas l’exploitation.

Un SDK utilisant des API privées

SourceDNA, une société indépendante qui analyse le code des applications, en a pourtant trouvé plusieurs centaines dont le comportement sortait largement des sentiers battus. Les employés de cette société ont repéré qu’elles utilisaient un SDK non officiel et considéré visiblement comme malveillant. Un kit de développement dont la mission « officielle » est d’aider les entreprises à mieux gérer les publicités. Dans la pratique, il fait appel à des API privées d’iOS et a une mission nettement plus sombre.

L’examen attentif du SDK a montré qu’il provenait de la société Youmi, spécialisée dans la publicité. Au total selon SourceDNA, 256 applications l’utilisaient, sans savoir a priori que l’infrastructure publicitaire utilisée permettait de collecter des données qui sont normalement hors d’atteinte des éditeurs, à moins de les demander directement aux utilisateurs : les adresses email, identifiants uniques de téléphones, liste complète des applications déjà téléchargées et autres informations personnelles.

Apple fait le ménage et prévient les développeurs

Les applications trouvées n’ont pas été nommées, mais tous leurs développeurs sont en Chine et leur nombre cumulé de téléchargements dépasse le million. L’information a été remontée rapidement à Apple, qui a procédé à la suppression des applications, provoquant leur disparition immédiate des smartphones et tablettes connectés. L’App Store dispose en effet d’un « kill switch », permettant de provoquer la désinstallation à distance de ce type d’applications non autorisées, voire dangereuses.

Apple a d’ailleurs confirmé le processus par un communiqué : « Nous avons identifié un groupe d’applications qui utilisaient un SDK publicitaire de tierce partie, développé par Youmi, et qui utilise des API privées pour récolter des informations personnelles [...], avant de les router vers ses serveurs. C’est une violation de notre code de conduite sur la sécurité et la vie privée. Les applications utilisant le SDK de Youmi sont retirées de l’App Store et toute nouvelle application utilisant ce SDK et soumise pour validation à l’App Store sera rejetée. Nous travaillons en étroite collaboration avec les développeurs pour les aider à publier de nouvelles versions sûres pour les clients et en accord avec notre code de conduite ».

Plusieurs problèmes de validation et en Chine en peu de temps

On peut s’étonner en fait que de telles applications aient en premier lieu réussi à passer la validation de l’App Store, car les appels aux API privées font partie des raisons principales de rejets. Apple est maintenant au courant de ce que fait ce SDK, mais rien ne permet d’affirmer qu’il s’agissait du seul à utiliser ainsi des API privées. Le problème est que ce n’est pas la première fois que le processus de validation est remis en question et qu’Apple ne peut plus affirmer que les applications disponibles dans sa boutique sont nécessairement « propres », donc garanties sans menace particulière.

En outre, c’est la seconde fois en peu de temps qu’Apple est confronté à un problème de sécurité trouvant son origine en Chine. On se rappelle en effet que des développeurs, pour installer plus rapidement l’environnement Xcode, le récupéraient sur des sites tiers. Problème, il s’agissait d’une version vérolée incorporant systématiquement un malware dans l’application lors de sa compilation. Un malware qui n’était pas non plus détecté durant la validation de l’App Store. Apple avait fait le ménage et indiqué aux développeurs que des serveurs locaux seraient mis en place pour que les développeurs bénéficient de vitesses de téléchargement supérieures.

42
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 10

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

LoL Micro$oft

16:33 Soft 23

Sommaire de l'article

Introduction

Un SDK utilisant des API privées

Apple fait le ménage et prévient les développeurs

Plusieurs problèmes de validation et en Chine en peu de temps

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 10

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 23
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 17
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 18
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 8
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 15

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Fairphone 5 démonté par iFixit

Sans surprise, le Fairphone 5 obtient 10/10 chez iFixit

Hard 7

WhatsApp vocaux à vue/écoute unique

WhatsApp permet d’envoyer des vocaux à écoute unique

Soft 11

Logo de Google sur un ordinateur portable

Google propose un correctif aux disparitions mystérieuses sur Drive

Soft 22

Puce AMD Instinct

IA : AMD annonce la disponibilité des accélérateurs Instinct MI300A et MI300X

Hard 0

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Cloud : 1,2 milliard d’euros pour un Projet important d’intérêt européen commun

Web 13

Sonde OSIRIS-REx de la NASA lors du retour de la capsule des échantillons sur Terre

Échantillons d’OSIRIS-REx : la NASA a frôlé la catastrophe

Science 11

CPU AMD Ryzen avec NPU pour l’IA

Ryzen 8040 : AMD lance de nouveaux CPU mobiles (Zen 4, RDNA 3, NPU)

Hard 2

Commentaires (42)


Northernlights Abonné
Le 20/10/2015 à 09h41

Qu’a la base ces api soient pas sécurisé c’est soit une requète de la NSA, soit très bète de la part d’Apple.

“Il suffit de demander pour avoir un accès complet, mais on vous autorise pas de demander.”


Minikea
Le 20/10/2015 à 09h43

c’est déjà super tendu d’utiliser un SDK non officiel… le faire pour des questions de vitesse de DL est déjà un peu con, le faire pour “optimiser la pub” c’est de l’attrape couillon. et Apple qui valide ça en amont au lieu d’empêcher la mise en ligne est aussi en cause…


linkin623 Abonné
Le 20/10/2015 à 09h44






Northernlights a écrit :

Qu’a la base ces api soient pas sécurisé c’est soit une requète de la NSA, soit très bète de la part d’Apple.

“Il suffit de demander pour avoir un accès complet, mais on vous autorise pas de demander.”


On est en Chine là, sur un éditeur chinois, alors la NSA…

Non, faut plus y voir une grosse faute de dev’, ou bien une demande des autorités pour avoir accès aux données de certains utilisateurs d’app “déviante” ou potentiellement déviante.



Northernlights Abonné
Le 20/10/2015 à 09h46

L’exploitationest faite dans un cas chinois, mais les api ont étés définie par Apple.


Hadrien01
Le 20/10/2015 à 09h54

Non, c’est dû à la nature des requêtes en Objective-C. Apple ne peut pas protéger ces méthodes qu’elle utilise pour ses propres applications, et ne peut pas détecter son utilisation.


PirateRoberts Abonné
Le 20/10/2015 à 09h57

Bizarre qu’il y en ait 256 tout pile…


Haemy
Le 20/10/2015 à 09h57

J’ai pas compris, le sdk alternatif utilise l’api d’apple ou celui du sdk alternatif pour voler les données ?
 Si c’est celui d’apple c’est pathétique de la part d’apple de donner des leçons de morales alors qu’ils peuvent voler des données personnel à tout moment vu que les applications sont compilés avec leur sdk..


jeje07bis
Le 20/10/2015 à 09h59

ca doit être le même bordel sur le store android, sinon pire…..
Je me suis penché y a quelques temps sur les permissions des applications android avec APK permission. Certains permissions font peur, comme celle qui renvoie un appel vers un numéro inconnu. On se demande bien pour quoi faire….. Je passe sur les traditionnels accès aux contacts et aux SMS.

Bref, le blackphone 2 me fait de l’oeil.


redzeus
Le 20/10/2015 à 10h09

Le SDK alternatif utilise les api privé d’apple.
Sauf que ces api privé ne sont pas là (à la base) pour voler des données personnel mais pour le fonctionnement interne de l’appareil.
Par exemple l’application “apple store” a besoin d’avoir la liste des applis installé, l’application “téléphone” a besoin d’avoir l’id du numéro de téléphone …
Après c’est sûr que si apple utilise ces api privées hors de leurs contextes, personne ne le vera et on ne pourra rien y faire ^^


hansi Abonné
Le 20/10/2015 à 10h27

Non mais franchement , faire le boulot d’Apple - quel culot ! ;)


The Radec
Le 20/10/2015 à 10h34

Ils ont bannis les apps Google ? &nbsp;<img data-src=" />




<img data-src=" />


js2082
Le 20/10/2015 à 11h49

A quand le ménage sur le playstore et sur le windowd market?

Parce que perso, j’en vois déjà un bon paquet qui mériterait d’être bannie à vie, leurs développeurs pendus par les cou**les.


js2082
Le 20/10/2015 à 11h51

En même temps, si Apple voulait rester logique, ces apps devraient être bannies aussi.
Ce n’est pas parce que c’est un plus gros éditeur que google ne doit pas être soumis aux mêmes règles.


Folgore
Le 20/10/2015 à 11h57






PirateRoberts a écrit :

Bizarre qu’il y en ait 256 tout pile…



Ils ont atteint la taille limite de leur tableau en char <img data-src=" />



Gilbert_Gosseyn Abonné
Le 20/10/2015 à 12h05

Les deux peut être ?


airgobs
Le 20/10/2015 à 12h10

Bah oui aussi, on fait pas de concurrence sur sa propre plateforme.


JeanMouloud66
Le 20/10/2015 à 12h26

Donc Apple qui utilise l’api privée, c’est bon. Mais pas les autres ?


atomusk
Le 20/10/2015 à 12h37

Pourquoi ?
Google passe par les API publiques, si ils accedent à des info “privés” (position/contacts …) il demande l’autorisation à l’utilisateur …

ici on parle d’apps qui ont acces à des API qui peuvent récupérer des info privés sans demander à l’utilisateur …


coucou_lo_coucou_paloma
Le 20/10/2015 à 12h46

[mauvais_esprit]
faisant appel à des API privées et réservées à la firme, et volaient des informations personnelles.
Le vol d’information est donc réservé à Apple. Au moins c’est clair.
[/mauvais_esprit]
<img data-src=" />


atomusk
Le 20/10/2015 à 12h48

oui autant si le code du SDK n’a pas acces aux données, ça va être dur de donner accès aux données aux apps <img data-src=" />


anonyme_17187f2fe30034ef77b37a104608a3ce
Le 20/10/2015 à 12h55

Vont ils supprimer les applications Google ?


atomusk
Le 20/10/2015 à 13h17

déjà faite <img data-src=" />


Anonyme_f7d8f7f164fgnbw67p
Le 20/10/2015 à 16h45






JeanMouloud66 a écrit :

Donc Apple qui utilise l’api privée, c’est bon. Mais pas les autres ?



Bien sûr. Aucun problème, on peut faire confiance à Apple là dessus.
Apple ne fait-il pas son bénéfice principal en pratiquant des prix élevés (mais justes, au regard du service et de la qualité fournis ) ?

Pas besoin donc d’avoir peur d’Apple, ce sont des autres dont il faut se méfier. Tous les autres sans exception.



anonyme_af519d6cf6f3253c7cf9ae7f0f74ef16
Le 20/10/2015 à 18h10






js2082 a écrit :

A quand le ménage sur le playstore et sur le windowd market?


Ça s’intitule Windows Store en fait… et il n’y a de vrais malwares que sur le play store, aucun sur le Windows Store, par contre des apps attrape-gogos ça c’est sûr qu’il y en de trop partout!

Et le problème c’est que si tu fais le ménage dans les mauvaises apps, comme il y encore trop de noobs et de michus qui se fient au nombre d’apps annoncé pour choisir leur smartphone (comme d’autres se fient aux mégapixels pour être persuadés que les xPeria prennent de bonnes photos alors que non pas du tout en fait), bah tu risques de perdre des clients, paradoxal au possible quand même, la quantité qui prend encore le pas sur la qualité…



atomusk
Le 20/10/2015 à 20h50

<img data-src=" />


Gundar
Le 20/10/2015 à 21h44

Donc ça fait 13 points pour cette manche, bien joué. A qui de donner ?


tontonCD
Le 21/10/2015 à 08h56






Haemy a écrit :

J’ai pas compris, le sdk alternatif utilise l’api d’apple ou celui du sdk alternatif pour voler les données ?


En réalité, dans tout SDK, sur toute plateforme, les librairies comportent les fonctions publiées mais aussi les fonctions élémentaires utilisées par ces fonctions, qui ne sont en principe pas disponibles aux développeurs car non documentées. On peut trouver des docs vagues sur ces dernières mais elles sont déconseillées car l’éditeur peut les modifier à tout moment. On peut en avoir un aperçu avec nm (linux) ou dependencies walker (windows). Rien n’indique comment les exploiter. Le rôle de Youmi a été d’explorer ces fonction pour proposer son propre SDK permettant à des développeur de les utiliser facilement.