Hlavní navigace

250 aplikací v App Store shromažďovalo informace o uživatelích

Daniel Dočekal 20. 10. 2015

E-maily, instalované aplikace, sériová čísla a další citlivé informace uživatelů končí bez jejich vědomí v zásadě neznámo kde.

Apple zakazuje shromažďování informací o uživatelích, ale jak známo, pouhý zákaz nic neznamená. V App Store je aktuálně více než 250 aplikací, které právě v rozporu s Pravidly sbírají o uživatelích všechno, co se dá. E-maily, sériová čísla, přehled instalovaných aplikací i další informace pak bez vědomí uživatelů končí neznámo kde.

Do App Store by se teoreticky neměly dostat, každá aplikace je totiž schvalována a kontrolována. Nejde přitom zdaleka o maličkost. Výzkumníci, kteří tyto aplikace objevili, upozorňují, že už si je stáhl milion uživatelů.

Ještě zajímavější ale je, že samotní autoři aplikací možná ani netuší, že jejich aplikace data sbírají. Problém je ve skutečnosti v knihovně (Youmi's SDK), kterou použili k jejich tvorbě. Právě tato knihovna odesílá získané informace svému tvůrci (či tvůrcům). 

Řešení na cestě

Stejně jako v řadě předchozích podobných případů jde o knihovnu, která umožňuje v aplikacích používat reklamu. Což zároveň vysvětluje, proč jsou údaje o uživatelích shromažďovány – umožňují lépe cílit a také lépe prodávat inzerci.

A je tu ještě jedna hodně zvláštní věc – knihovna používá privátní API, které zjevně umožňuje i leccos, co za normálních okolností nemá být možné. V nejnovějších verzích iPhonů a iPadů dokonce sbírá i sériová čísla komponent, které obsahuje. Něco takového umožňuje velmi dobře identifikovat určité zařízení i poté, co uživatel provede reset inzertního identifikátoru.

Apple už problém řeší. Odstranil všechny aplikace, které toto SDK používají, a do budoucna prý zamezí tomu, aby se jakékoliv další aplikace s tímto SDK mohly dostat do App Store. Detailnější informace najdete v iOS Apps Caught Using Private APIs.

Našli jste v článku chybu?

2. 11. 2015 6:06

Aha, čtení sériových čísel tam je vysvětleno. Ale ty e-maily budou asi omyl.

2. 11. 2015 5:55

Jak může aplikace na iOS číst e-maily a čísla komponent? Co vím, tak sandbox nic takového nedovolí.

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Dva doklady netřeba, dejte to na účtenku k EET

Dva doklady netřeba, dejte to na účtenku k EET

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi