Apple entfernt mehr als 250 „Schnüffel“-Apps aus dem App Store

Apple hat die Entfernung von iOS-Apps aus seinem App Store angekündigt, die ein Youmi genanntes Software Development Kit (SDK) nutzen, das laut Apples Richtlinien verboten ist. Wie Ars Technica berichtet, sammelt das Werbe-SDK persönliche Informationen und leitet sie an Server des SDK-Herausgebers in China weiter.

Entdeckt wurden die Apps von SourceDNA, einem Analytics-Service für iOS- und Android-Code. Dessen Tool Searchlight fand dem Bericht zufolge insgesamt 256 betroffene Anwendungen. Die meisten Entwickler, die Youmi einsetzen, kommen offenbar aus China. Da das SDK nur in Binärform ausgeliefert werde und zudem seine Funktionen verschleiere, seien vielen Entwicklern die Schnüffelfunktionen wahrscheinlich gar nicht bekannt, heißt es in dem Bericht.

SourceDNA zufolge erstellt das SDK eine Liste mit allen auf einem iPhone oder iPad installierten Apps. Außerdem erfasst es die Apple-ID und die damit verknüpfte E-Mail-Adresse. Bei Geräten mit neueren iOS-Versionen liest Youmi auch eine Liste mit allen Hardwarekomponenten und deren Seriennummern aus. Ist eine ältere iOS-Version installiert, gibt das SDK nur die Plattform-Seriennummer weiter.

„Wir haben eine Gruppe von Apps identifiziert, die ein Werbe-SDK von Youmi, einem Anbieter von mobiler Werbung, nutzt, das private APIs zur Sammlung persönlicher Informationen wie E-Mail-Adressen und Gerätebezeichnungen sammelt und die Daten an seine Firmenserver übermittelt“, zitiert Ars Technica aus einer Stellungnahme von Apple. „Das ist ein Verstoß gegen unsere Sicherheits- und Datenschutzrichtlinien. Die Apps, die Youmis SDK verwenden, wurden aus dem App Store entfernt, und neu eingereichte Apps mit dem SDK werden abgelehnt.“

Apple arbeitet nun nach eigenen Angaben mit den betroffenen Entwicklern zusammen, um das Youmi-SDK aus ihren Apps zu entfernen. Aktualisierte Versionen der Anwendungen sollen schon in Kürze wieder im App Store erhältlich sein.

Welche Apps das SDK enthielten, teilen weder Apple noch SourceDNA mit. Letzteres habe Apple eine Liste mit allen Anwendungen übergeben, darunter die offizielle chinesische McDonalds-App, so Ars Technica weiter. Entwickler könnten mithilfe des Searchlight-Tools von SourceDNA zudem selber herausfinden, ob ihre App das Youmi-SDK verwendet.

Es ist nicht das erste Mal, dass schädliche oder unerwünschte Programme Apples Kontrollen überwinden und ihren Weg in den App Store finden. Im September hatte der iPhone-Hersteller eine nicht näher genannte Zahl von Apps gelöscht, die mit der Malware XcodeGhost infiziert waren. Hackern war es gelungen, die Malware mithilfe einer modifizierten Version von Apples Entwicklungsumgebung Xcode in den App Store einzuschleusen.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.