蘋果的安全防線一再被中國開發人員破解。本周安全分析業者SourceDNA指出,蘋果的App Store中出現了256個非法使用Private APIs的行動程式,以用來蒐集使用者的個人資訊,且相關程式全都使用了由中國行動廣告業者所提供的SDK,蘋果已證實此事,並著手將相關程式移除。
Private APIs為iOS框架中所保留的各種功能,只供蘋果內部開發人員打造iOS內建行動程式時使用。這些API能夠存取諸如攝影機或藍牙等裝置的資源,或是裝置編號等資訊,也較無運行限制。為了防止外部開發人員使用這些API,蘋果在開發人員協議中明文禁止使用這些API,也未提供Private APIs的說明文件,採用Private APIs的第三方程式理應無法通過App Store的上架審核程序。
但SourceDNA發現,雖然蘋果會過濾採用Private APIs的行動程式,但開發人員若於程式運行環境嵌入可存取Private APIs的字串,便能逃過蘋果的偵測。而且這些違法使用的Private APIs都是出現在由中國廣告業者「有米」(Youmi)所提供的SDK中,總計有256款iOS程式採用了有米API,下載次數已達100萬次。
蘋果並未確認所移除的行動程式數量,僅說該公司在App Store中發現一票行動程式使用了有米的行動廣告SDK,該SDK透過Private APIs來蒐集使用者的個人資訊,包含電子郵件帳號及裝置序號等,並將數據傳送到有米的伺服器上,此舉已違反了蘋果的安全及隱私準則。
因此,所有採用有米SDK的行動程式都將被移除,蘋果也會拒絕其他採用有米SDK的行動程式。同時著手與開發人員合作以協助他們更新程式,儘快讓符合蘋果規範的安全程式重新上架。
有米旗下負責行動廣告的優蜜移動亦隨之發表聲明,先是向程式遭到下架的開發人員致歉,表示正在進行補救措施,包括與蘋果展開協調、建議開發人員移除有米SDK,以及同意釋出合理的賠償等。類似優蜜移動的行動廣告業者可說是行動時代的廣告聯播商,他們蒐集了豐富的廣告來源,並與開發人員合作在程式中遞送廣告,再和開發人員分享廣告收益。
這並不是第一個濫用蘋果Private APIs的例子,卻是第一個濫用Private APIs還光明正大登上App Store的例子。先前資安業者Palo Alto Networks曾揭露另一由中國開發人員打造的iOS惡意程式YiSpecter,該惡意程式一方面使用了Private APIs來從事惡意行為,另一方面則利用蘋果的企業專案(Apple Developer Enterprise Program)進行散布,企業專案允許使用者透過App Store以外的管道下載iOS程式,意謂著夾帶YiSpecter的程式並沒有經過蘋果的審核,也未進駐App Store。
此外,還有一名中國開發人員改寫了蘋果的Xcode程式開發環境,使其可回傳裝置資訊,並將改寫過後的XcodeGhost版本置放在雲端硬碟以開放外界下載,估計有數千款基於XcodeGhost的iOS程式通過了蘋果的程式審核程序,並成功於App Store上架。(編譯/陳曉莉)