苹果App Store下架256款应用 360安全专家分析漏洞

近日，iOS中APP再出事故，苹果公司紧急下架了App Store上超256款应用。据苹果官方透露，下架这些应用是由于使用过名为有米(Youmi)的广告SDK，其中存在安全漏洞。截至发稿，这些存在安全隐患的应用总下载量已达100万次。

图1：iOS再曝安全事件

据网络安全机构SourceDNA的调查报告称，App Store上256款应用违反了苹果相关隐私条例，存在暗中收集用户邮件地址、装机应用、序列号以及其它私人信息等行为，而造成本次安全问题的根本原因，是由于这些应用都使用了一款国内移动广告提供商——有米所提供的第三方广告SDK。

360手机安全专家指出，虽然存在不安全因素的256款APP已经被苹果紧急叫停下架，但目前为止，这些存在安全隐患的应用总下载量已达100万次。

图2：读取Apple ID的有米广告代码

360手机安全专家分析，存在安全漏洞的有米SDK存在以下行为：收集用户安装在手机上的应用列表信息;在用户运行旧版iOS时，收集手机设备的平台序列号;在运行新版iOS时，收集手机设备的硬件组件及组件序列号;收集用户的Apple ID邮箱地址。

据360手机安全专家介绍，苹果公司一直禁止使用私有API，iOS 8中就禁止应用读取设备序列号，而有米通过枚举电池系统等外部设备，突破了苹果的限制，以硬件标识符的方式搜集发送这些序列号。此次也是第一次有人成功绕过了苹果的应用审核机制。

图3:256款APP遭苹果下架

360手机安全专家了解到，此次被下架的256款应用，均使用了有米来展示广告，而有米则借此收集用户信息。并且，这些数据收集行为已持续大概一年之久，比较初从收集App列表开始，直至发展到现在的版本。

　对此，苹果方面发表声明称：

“我们发现一批App涉嫌使用私人API收集用户个人信息，包括邮件地址、设备认证信息以及路由数据，而这些App都使用了有米开发的第三方广告SDK。此行为违反了我们的安全和隐私准则，因而凡使用有米SDK的App均将做下架处理，新App如果使用了该SDK也将遭到拒绝。

目前，我们正和开发者紧密联系，以帮助他们升级到安全的版本，早日回归App Store。”

360手机安全专家称，此次涉事应用不乏中国版麦当劳APP这类常用应用，这也是继XcodeGhost事件后，iOS平台又一重大安全事件。