Apple heeft in het weekend honderden iOS-applicaties uit de App Store verwijderd. De getroffen apps maakten gebruik van een Chinees advertentienetwerk genaamd Youmi en verzamelden wel erg veel privégegevens van gebruikers.

Het advertentienetwerk gebruikte een aantal private API’s uit iOS om persoonlijke gegevens, zoals het Apple ID van de gebruiker, te achterhalen. Beveiligingsbedrijf SourceDNA kwam 256 apps op het spoor.

Volgens onderzoekers van SourceDNA hebben de 256 apps in totaal meer dan een miljoen downloads. Het gaat vooral om de Aziatische apps zoals de Chinese McDonald’s-app en de Chinese variant van games als Talking Tom Cat en 2084. Youmi heeft ook een internationale variant genaamd AdxMi. Of apps die de internationale versie gebruiken ook getroffen zijn is onduidelijk.

Enkele van de getroffen apps. De SDK van het advertentienetwerk maakte gebruik van private API’s. Dat zijn functies die door Apple intern in iOS gebruikt worden, maar om diverse redenen verboden zijn in apps van derden. Youmi hield het gebruik van de private API’s voor Apple en ontwikkelaars verborgen en stuurde de privégegevens alleen naar zijn eigen servers.

Het advertentienetwerk ging sluw te werk en kon onder andere serienummers van iOS-apparaten en het e-mail adres van consumenten achterhalen. De functies die de private API’s aanriepen, werden gemaskeerd met willekeurige namen en volgens SourceDNA heeft Youmi de tracking langzaam opgeschroefd omdat Apple de gemaskeerde code niet opmerkte. Apple heeft inmiddels gereageerd en zegt dat de getroffen apps alleen zonder Youmi SDK terug in de App Store worden toegelaten. Toch blijft de vraag hoe zoiets door het app review-proces van Apple kan glippen.