Confidentialité : Apple supprime des centaines d'applications indiscrètes
Apple va faire le ménage parmi les centaines d’applications (chinoises dans leur majorité) qui intègrent le SDK de Youmi, éditrice d’un outil publicitaire bien peu respectueux de la vie privée des utilisateurs de terminaux iOS. SourceDNA, à l’origine de cette découverte, a dénombré 256 apps « Youmi », qui envoient en douce (et évidemment, sans l’accord de l’utilisateur), la liste des applications installées sur l’iPhone, le numéro de série de l’appareil (s’il fonctionne sur une ancienne version d’iOS), la liste et les numéros de série des composants matériels de ces terminaux, ainsi que les adresses e-mails associées à l’ID Apple de l’utilisateur.
Apple a réagi rapidement à cette affaire. Le constructeur explique avoir « identifié un groupe d’applications » qui utilisent le SDK de Youmi ; ce dernier exploite des API privées pour récolter des informations confidentielles. « C’est une infraction de notre politique sur la sécurité et la confidentialité. Les apps utilisant le logiciel de Youmi seront supprimées de l’App Store, et toute nouvelle app utilisant Youmi et soumise à l’App Store sera rejetée ». Apple travaille de près avec les développeurs afin que leurs productions soient de retour rapidement au sein de la boutique de logiciels.
Cette récolte indiscrète a débuté il y a environ un an, et elle se limitait à la liste des applications installées sur l’appareil. Avec le temps, Youmi s’est enhardi en récupérant de plus en plus de données. Parmi les applications touchées, une déclinaison de l’app officielle de MacDonald’s en chinois fait notamment partie des victimes. Les éditeurs et développeurs ne sont souvent tout simplement pas au courant des exactions de Youmi.
L’affaire tombe au plus mal pour Apple, qui sort tout juste d’une grosse controverse autour de XcodeGhost, une version alternative et vérolée de ses outils de développement. Là aussi, ces derniers faisaient bien peu de cas des données privées des utilisateurs (lire : XcodeGhost : Apple supprime les applications infectées).
L’affaire tomberait au plus mal, oui, mais seulement au cas où Apple ne saurait pas réagir.
Ce genre de mésaventure est inévitable, surtout en Chine.
Ses répercussions montreront si Apple est apte à s'imposer sur un marché sujet à la loi d'un régime sans aucun respect pour les lois, les droits des individus ou la propriété intellectuelle. Si Apple s'affirme et réussit en partie à protéger la confidentialité des données de ses clients, cette épisode aura eu du bon. Mais il faudrait pour cela qu'Apple développe une analyse très critique de son modus operandi.
Si j'ai un doute, c'est sur ce dernier point.
@occam :
Bravo pour ton post. Clair et concis . Cela nous change des logorrhées verbales.
Effectivement, Apple va devoir composer avec cet environnement si "particulier", un vrai far west.
On est face a un probleme plus large.
Nombre de developpeurs ont des formations tres approximatives et ne savent pas comment choisir la bonne librairie pour ajouter une fonction a leur soft. Il suffit que dans l'API se trouve une fonction qui fasse a peu pres ce qu'ils veulent et ne se soucient pas des autres fonctions...
Apres il faut aussi remettre la responsabilité sur les developpeurs: aujourd'hui on ne peut pas ignorer que les donnees entré sur un appareil vont etre l'objet de convoitises variées. Il est necessaire que TOUS les soft chiffrent TOUTES leurs données en LOCAL, et pas que ce qui va transiter dans le réseau.
C'est super la Chine niveau informatique, ça fait tout sauf rêver.
J'imagine que Android doit avoir les mêmes soucis au global avec la Chine non ?
@Hideyasu :
Android et W10 mobile*
Le probleme avec la Chine c'est pas que local au pays. Il faut savoir que la tendance general c'est de sous-traiter la programmation a des "usines de codeurs" en Chine, plutot que de payer des programmeurs sur site. Ça permet de payer plus les actionnaires.
Et puis il faut aussi pas tomber dans le piege mediatique: le probleme d'insecurité chinois est secondaire par rapport aux contraintes imposé par les cadres legaux (Patriot Act et sa transcription francaises (Kazeneuve...) ). Aujourd'hui les plus grosses failles de securité sont installé pour les programme d'ecoute etatique!
Oui, tous les OS sont concernés.
Le seul point négatif est Apple qui est le seul à essayer de se montrer si arrogant avec les autres en se moquant et se mettant sur un piédestal.
Au final, on se retrouve avce des résultats semblables que les autres, mais les chiffres seront effacés à grand coup de Marketting.
tu lis l'article mieux.
Si j'ai bien compris c'est un malware créé par une régie publicitaire. Le meilleur moyen de se prémunir de ce genre d'attaque c'est d'éviter les applications financées par la pub, y compris celles dont on peut masquer la publicité avec un achat In app puisque le malware en question reste dans le programme.
Pour moi c'est fait depuis longtemps.
Sauf que tu ne sais pas à l'avance quel SDK a utilisé l'application que tu télécharges, et un maximum d'applicatiopns du store utilise des SDK de rapports de crash, d'Analytics, etc...
Puis l'appli avec des pubs que tu désinstalles aura déjà envoyé tes données sur leur serveur, donc trop tard, bien souvent!
Ce qui fait que ton faux sentiment de sécurité est une beau mur de fumée...
Pendant un moment je vivais avec une Chinoise. J'hallucinais sur le nombre de trucs qu'elle installait ayant des virus. Et quand bien même l'antivirus mettait un ENORME avertissement, elle l'ignorait. Pour elle c'était normal. Et pas pour des trucs crackés, hein. Non non, des programmes téléchargés depuis des gros sites chinois, un peu du genre MacUpdate, CNET, Softonic... mais bourrés de virus en plus.
Donc bon, le coup du XCode vérolé il y a peu, le SDK vérolé maintenant... c'est vraiment pas étonnant.
Et c'est vrai que dans un pays où de toute façon ta connexion est fliquée par l'état, officiellement et de manière franchement ouverte, je comprend qu'il n'y ait pas autant de levées de boucliers.
Mon impression, c'est qu'ici on a des doudous électroniques qu'on voudrait aussi protégés qu'un journal intime avec un cadenas en forme de coeur. Alors que là-bas ils ont intégré une réalité plus crue : ton machin électronique, il s'y passe des trucs pas forcément nets et c'est aussi un outil de plus pour te fliquer. Alors un peu plus ou un peu moins, c'est pas ça qui va changer grand chose.
256 applications http://www.apkwow.com viennent d’être retirées de l’App Store d’Apple. Elles intégraient toutes du code provenant d’une régie publicitaire un peu trop indiscrète qui récupérait les données de l’utilisateur.