La plateforme SourceDNA, qui propose des statistiques sur les apps iOS, a découvert que 256 titres de l'App Store utilisaient des APIs privées pour collecter frauduleusement des données personnelles sur leurs utilisateurs, dont l'adresse AppleID, les identifiants UDID des appareils ou encore le nom des autres apps installées.
Apple a confirmé aujourd'hui à Ars Technica que les apps identifiées par SourceDNA utilisaient bien un SDK tiers pour l'affichage de publicités, dont les APIs privées pouvaient avoir accès à des informations sensibles et envoyer ces dernières vers des serveurs privés, ce qui constitue une violation des conditions d'utilisation de l'App Store.
Il s'agit en majorité d'applications distribuées sur l'App Store chinois, et parmi lesquelles on retrouve notamment l'app officielle de McDonald's pour les clients de l'Empire du Milieu.
Par conséquent, toutes les applications utilisant le SDK vérolé mis au point par Youmi ont été immédiatement retirées de l'App Store, et la Pomme a indiqué avoir pris contact avec les développeurs afin de les aider à proposer au plus vite une mise à jour propre de leurs apps.
Au total, ces 256 apps utilisant le SDK de Youmi auraient été téléchargées un million de fois.
