中国の広告会社 Youmi が作成したソフトウェア開発キット(SDK)が原因で、Apple App Store から 256 個の iOS アプリが削除されましたが、同じ SDK は Android アプリの開発にも使われており、シマンテック製品とノートン製品では 2015 年 2 月から遮断されていました。
Youmi の Android 亜種(シマンテックでは Android.Youmi として検出されます)は、解析の結果、好ましくないアプリの可能性ありと分類されています。ユーザーのプライバシーを侵害する恐れがあるさまざまな処理を実行するからです。
Youmi の広告ライブラリは、リモートサイトに以下の情報を送信していることが判明しました。
この広告ライブラリはさらに、新しいアプリをダウンロードしてインストールを要求したり、ホーム画面やアプリリストにショートカット広告を作成したりすることも確認されました。
アプリ解析会社 SourceDNA は今週、Youmi SDK を使った iOS アプリが 256 個も App Store で公開されており、ユーザーの承諾なしに個人情報やデバイス情報を送信していることを確認しました。送信されていたのは、たとえば以下のような情報です。
Apple は、256 個のアプリすべてが Youmi SDK を使っており、プライベート API を使って収集したユーザー情報を Youmi 社のサーバーに送り返していることを確認したと発表しました。そのような動作は Apple のセキュリティポリシーとプライバシーポリシーに違反しているため、該当のアプリはすでに App Store から削除されています。そのうえで Apple は、Youmi SDK を使って開発されたアプリは今後いっさい受理しないとも付け加えています。
ユーザープライバシーの侵害を理由に Apple が App Store からアプリを削除することになったのは、この数カ月で 2 度目です。9 月には、XcodeGhost を利用して開発されたことが確認されたとして、多数のアプリが削除されています。XcodeGhost は、iOS アプリと Mac OS X アプリの開発に使われる Apple のソフトウェア開発環境を悪質に改変したソフトウェアです(シマンテックでは OSX.Codgost として検出されます)。XcodeGhost を使って開発されたアプリは、デバイス上で情報を収集し、コマンド & コントロール(C&C)サーバーにそのデータをアップロードするように設定されていました。
Apple は Xcode を無償で配布していますが、中国の開発者は、同社から Xcode を直接ダウンロードするのが難しい場合があります。そのため、開発者の多くが国内のサイトにホストされているコピーをダウンロードせざるをえないという状況でした。そうした開発者があずかり知らぬところで、攻撃者は Xcode のパッケージを改変して XcodeGhost を作り出していたのです。Apple によると、今後は中国でも国内にホストした Xcode をダウンロードできるようにするということです。
対処方法 Youmi SDK を製品に利用したアプリ開発者が、その悪質な動作に気づいていたかどうかは確認されていません。モバイルアプリの開発者は、プラットフォームにかかわらず、アプリの開発に Youmi は使わないようにしてください。
保護対策 シマンテック製品とノートン製品は、Youmi の Android 亜種を Android.Youmi として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】