imagazin arrow2-left arrow2-right arrow2-top arrow-up arrow-down arrow-left arrow-right cart close dossiers education fb instagram menu notification oander rss rss-footer search service shuffle speech-bubble star store stores tests twitter youtube

iPhone 8

Itt találsz mindent az iPhone 8-ról

Ez a cikk több mint egy éve nem frissült. Kérjük, vedd figyelembe, hogy ennek tükrében a tartalom mára már idejétmúlt lehet.

Nem tudták, hogy adatot lopnak!


Az alkalmazás fejlesztőknek a fő bevételi forrása a hirdetésekből származik, hiszen egy ingyenes alkalmazást a felhasználók sokkal szívesebben töltenek le, mint egy fizetőset. Éppen ezért sokkal többen is használják, ezeket az appokat, amik ideális hirdetési felületet biztosítanak. Egy egyszerű fejlesztő ilyenkor egy hirdetéssel kapcsolatos SDK-t hív segítségül, aminek készítőjétől később a pénzt kapja. De mi történik akkor, ha ez az SDK származik megbízhatatlan forrásból?

A Youmi az egyik kínai cég, ami kifejezetten mobil hirdetések alkalmazásba integrációjával foglalkozik. Ők tehát ideális megoldást kínáltak azoknak, akik éppen ilyen SDK-t kerestek. A cég számtalan kisebb és nagyobb projektnek segített megfelelő hirdetéseket biztosítani az iOS alkalmazásokba. Egészen pontosan 256 alkalmazás volt érintve. Ezt onnan lehet ilyen pontosan tudni, hogy egy dologban megegyeztek: egyszerre csak eltűntek az App Store-ból. A fejlesztőket pedig hiába keresték a felbőszült felhasználók, hiszen az Apple csak annyit közölt velük, hogy adathalász kódsor miatt az alkalmazást eltávolították.

App_Store-cover

A SourceDNA segítségével persze idővel rájöttek a turpisságra. A kódsor reklámokért felelős részében megbújtak olyan sorok is, amelyek nem voltak odavalóak. Az interfész ugyanis olyan metódusokat és meghívásokat tartalmazott, amivel a felhasználók privát adataihoz fért hozzá az alkalmazás, majd pedig ezt feldolgozva tovább küldte tárolásra a Youmi egyik távoli szerverére. És ezzel körülbelül a cég ki is merítette az adathalászat fogalmát. A bábuként használt alkalmazás fejlesztőknek ilyenkor két lehetősége volt, vagy számon kérte az SDK-t biztosító kínai céget, vagy más alternatíva után keresett.

Kiszűrtünk néhány alkalmazást, amelyek harmadik féltől származó hirdető SDK-t használnak, amit a Youmi mobilplatform hirdető cég fejlesztet. Ez az SDK olyan API-t használ, ami összegyűjt olyan személyes adatokat, mint pl. az e-mail cím és elküldi azt a cég szerverére. Ez egy súlyos megsértése a biztonsági és adatvédelmi irányelveinknek. Azok az alkalmazások, amelyek a Youmi megoldását használják el lesznek távolítva az App Store-ból, és automatikusan elutasításra kerül, minden ezt az SDK-t használó app is. A fejlesztőkkel igyekszünk minél előbb közös megoldást találni, hogy az alkalmazásuk az irányelveinknek megfelelően frissített verziója az App Store-ba kerülhessen.

Szerencsére csak nagyon kevés Apple felhasználó érintett, és nekik sem kell félniük, hogy komoly adatuk veszett el. A részletes jelentésben olvasható, hogy hála az iOS összetett biztonságának, csak a készülék típusát, illetve az alkalmazásban esetleg használt e-mail címet tudta kinyerni a hirdetőcég kódsora. A komolyabb fenyegetést jelentő alkalmazásokat, amelyek vélhetően még más verziószámú SDK-val készültek, egyből kiszűrte az Apple biztonsági csapata, és még az App Store-ba se került be az alkalmazás. Ha érintettek is vagyunk tehát, legrosszabb esetben pár spam-et fogunk kapni a postaládánkba.

20151018-privapis-asm

Természetesen a megkeresésekre a Youmi is válaszolt. A nyilatkozatukban elnézést kértek mind az alkalmazásfejlesztőktől, mind a felhasználóktól, és jelezték, hogy szeretnének egy olyan frissítést végezni az SDK-n, amit már mindenki teljes biztonságban használhat. Ugyanakkor a SourceDNA csapata óvatosságra int, hiszen a jelentésükből kiderül, hogy speciális modern programozási trükköket próbáltak alkalmazni a kódsor megírásakor, amivel egyértelműen az Apple App Store adatbiztonság ellenőrző csapatának a kijátszása volt a cél. Szerencsére ez nem sikerült, de ha sikerült is volna, ténylegesen komoly és személyes információt akkor se tudtak volna ellopni a felhasználóktól, erről pedig az iOS biztonsága gondoskodik.

Apple Watch akció
Apple Inc. (AAPL)

Ezt már olvastad?

A Sirinek ez is az egyik baja, hogy mindenki a célközönség. Valószínűleg hatékonyabb lenne, ha először jól működő modulokat hoznának létre egy-egy funkcióra szabva.

Miért nem ismeri anyanyelvünket az Apple virtuális asszisztense? ... - Klikk ide!