iOSアプリで不正に情報収集していた中国YoumiのSDK、Androidアプリの開発でも利用

　iOSデバイス内の情報を不正に収集する256個のアプリで使われていた「Youmi SDK」は、Androidアプリの開発にも利用されているものだという。Symantecが20日、同社公式ブログで指摘した。

　YoumiのAndroid亜種について、Symantec製品では今年2月以降、ユーザーのプライバシーを侵害する恐れがある“好ましくないアプリの可能性あり（Potentially Unwanted App）”として分類、「Android.Youmi」として検出・遮断しているという。

　Symantecによると、このSDKを作成した中国の広告会社Youmiの広告ライブラリは、デバイスの位置情報やIMEI、製造元、モデルの詳細、カーネルのバージョン、電話番号、通信事業者の所在地といった情報をリモートサイトに送信。さらに、新しいアプリをダウンロードしてインストールしたり、ホーム画面やアプリリストにショートカット広告を作成することも確認されたとしている。

　Youmi SDKを使って開発されたiOSアプリがプライベートAPIを使ってデバイス情報などをユーザーの承諾なしに送信しているということは、アプリ解析会社のSourceDNAが18日に明らかにしたもの。これを受けてAppleでは、このような動作はポリシー違反だとして、Youmi SDKを使ったiOSアプリ256個をApp Storeから削除するとともに、今後、Youmi SDKを用いたアプリはすべてリジェクトするとの声明を発表している。

　なお、Symantecでは、Youmi SDKを用いたアプリの開発者がその悪質な動作に気付いてかどうかは確認されていないと指摘した上で、開発者に対しては、アプリ開発にYoumi SDKを使わないよう呼び掛けている。