Nutzerdaten abgegriffen: Apple entfernt 256 problematische Apps aus dem App Store

Apple hat einem Bericht von Ars Technica zufolge mindestens 256 Apps aus dem iOS App Store genommen, die ein SDK des chinesischen Werbenetzwerks Youmi verwendet haben. Über dieses soll es unter Verwendung privater APIs möglich gewesen sein, Nutzerdaten abzugreifen, was Apple selbst aber in seinen Entwicklerregeln untersagt.

E-Mails und App-Listen

Laut einer Untersuchung der App-Analysefirma SourceDNA handelte es sich dabei unter anderem um eine Liste aller auf dem Gerät installierter Apps, die Plattformseriennummer des Geräts (allerdings nur unter älteren Versionen von iOS), eine Liste der Hardwarekomponenten samt Seriennummern (unter neueren iOS-Versionen) sowie die E-Mail-Adresse, die mit der Apple-ID des Kunden in Verbindung steht.

Betroffen scheinen vor allem chinesischsprachige Apps zu sein, darunter auch die offizielle McDonald's-App für die Volksrepublik. Apple teilte in einem Statement mit, das Youmi-SDK verletzte die SIcherheits- und Datenschutzrichtlinien Apples. Aus diesem Grund seien Apps, die es enthalten, auch entfernt worden. Künftig werde man Apps mit dem SDK zudem nicht mehr akzeptieren. Apple arbeite mit den betroffenen Entwicklern zusammen, damit diese schnell Updates publizieren könnten.

Durch die Kontrolle gerutscht

Es ist unklar, wie es Youmi gelungen ist, die Nutzung der für das Abgreifen der Daten notwendigen privaten APIs vor Apples App-Store-Review-Team zu verschleiern. Normalerweise prüfen automatisierte Werkzeuge Apps auf solche Verletzungen der Entwicklerrichtlinien. In China gab es in den letzten Monaten gleich mehrere problematische Fälle im Zusammenhang mit dem iOS App Store. So gelangte über eine manipulierte Version der Entwicklungsumgebung Xcode erstmals Malware in den Softwareladen. (bsc)