Youmi logró esconder su uso de APIs privadas a la hora de la revisión de sus apps por parte de Apple
La firma de la manzana mordida ha respondido en menos de 24 horas a un descubrimiento realizado por el equipo de SourceDNA. Todo parece apuntar a que la compañía asiática con sede en China, Youmi, la cual se enfoca en publicidad para dispositivos móviles, habría encontrado la manera de evitar el proceso de revisión de sus apps por Apple, escondiendo la utilización de APIs privadas, para que de esta forma sus anuncios insertados en las diversas aplicaciones que hacían uso de su SDK, recogieran información privada de los usuarios de manera inadvertida, algo completamente prohibido por Apple y demás empresas del sector.
Concretamente, la compañía china recepcionaba un listado con las aplicaciones que el usuario tenía instaladas en su dispositivo móvil, el número de serie de los iPhones y de los iPads que tenían instaladas versiones anteriores de iOS, un listado con completo con los componentes de hardware y sus números de serie correspondientes, al igual que el email asociado al ID de Apple de cada usuario.
El mencionado portal SourceDNA considera que las versiones iniciales del SDK de Youmi no pasaron a ser parte de este tipo de prácticas, ya que un análisis exhaustivo de su código desveló que hace dos años aproximadamente los desarrolladores iniciaron experimentos con sistemas para esconder una llamada a un API de naturaleza privada mientras la aplicación se ejecutaba en segundo plano.
Hasta la fecha, los de Cupertino han logrado detectar cerca de 256 aplicaciones que en conjunto suman un millón de descargas, sin embargo, es importante resaltar que los diferentes desarrolladores ignoraban lo que estaba ocurriendo detrás de sus aplicaciones. Por esta razón, la fuente mencionada tomó la decisión de no revelar el listado de apps infectadas, contactando directamente a Apple a quienes si les hizo entrega del mismo para que tomaran cartas en el asunto.
McDonalds para China fue una de las apps afectadas por este problema de violación a la privacidad
Pese a lo anterior, se supo que aplicaciones de la envergadura de McDonalds para China usaba el SDK de Youmi, no obstante, como ya mencionamos, lo hacían exclusivamente para desplegar anuncios, no con el fin de que Youmi sacara provecho de tal situación y recogiera los datos de los usuarios por medio de su aplicación.
Por último, es relevante mencionar que el SDK de Youmi también se encuentra disponible en el ecosistema Android aunque hasta la fecha se desconoce si esta vulneración también ha llegado al sistema operativo estrella de Google.