Apple va faire le ménage parmi les centaines d’applications (chinoises dans leur majorité) qui intègrent le SDK de Youmi, éditrice d’un outil publicitaire bien peu respectueux de la vie privée des utilisateurs de terminaux iOS. SourceDNA, à l’origine de cette découverte, a dénombré 256 apps « Youmi », qui envoient en douce (et évidemment, sans l’accord de l’utilisateur), la liste des applications installées sur l’iPhone, le numéro de série de l’appareil (s’il fonctionne sur une ancienne version d’iOS), la liste et les numéros de série des composants matériels de ces terminaux, ainsi que les adresses e-mails associées à l’ID Apple de l’utilisateur.
Apple a réagi rapidement à cette affaire. Le constructeur explique avoir « identifié un groupe d’applications » qui utilisent le SDK de Youmi ; ce dernier exploite des API privées pour récolter des informations confidentielles. « C’est une infraction de notre politique sur la sécurité et la confidentialité. Les apps utilisant le logiciel de Youmi seront supprimées de l’App Store, et toute nouvelle app utilisant Youmi et soumise à l’App Store sera rejetée ». Apple travaille de près avec les développeurs afin que leurs productions soient de retour rapidement au sein de la boutique de logiciels.
Cette récolte indiscrète a débuté il y a environ un an, et elle se limitait à la liste des applications installées sur l’appareil. Avec le temps, Youmi s’est enhardi en récupérant de plus en plus de données. Parmi les applications touchées, une déclinaison de l’app officielle de MacDonald’s en chinois fait notamment partie des victimes. Les éditeurs et développeurs ne sont souvent tout simplement pas au courant des exactions de Youmi.
L’affaire tombe au plus mal pour Apple, qui sort tout juste d’une grosse controverse autour de XcodeGhost, une version alternative et vérolée de ses outils de développement. Là aussi, ces derniers faisaient bien peu de cas des données privées des utilisateurs (lire : XcodeGhost : Apple supprime les applications infectées).
Source : ars technica
