Apple dün 250’den fazla uygulamayı, “kişisel bilgilere eriştiği ve sakladığı” gerekçesi ile App Store’dan kaldırdı. Youmi adlı firmanın geliştirdiği bir SDK’yı kullanan ve kullanıcılar tarafından indirilen tüm uygulamalar e-posta adresi ve iPhone seri numarasına erişebiliyordu.
Mobil güvenlik firması SourceDNA’in açıkladığına göre bu SDK’yı kullanan uygulamalar toplamda 1 milyondan fazla kişi tarafından indirilmişti.
Youmi SDK’yı kullanan uygulamaların büyük bir çoğunluğu Çin’deki App Store’da yer alıyor ve büyük ihtimalle Apple’ın güvenlik kurallarını delen böyle bir ihlalden haberdar bile değiller. SDK binary formunda olduğu ve kişisel bilgileri uygulamanın değil, Youmi’nin sunucularına gönderdiği için haberdar olmaları da pek mümkün görünmüyor.
SourceDNA ise yeni SDK paylaşılana kadar geliştiricilerin de bu SDK’dan uzak durmaları gerektiğini paylaşıyor.
Apple’ın bunu nasıl tespit edemediği, daha doğrusu geç farketmesi ise şaşırtıcı. Apple da bu konuda net bir açıklama yapmış değil. Ancak tahmin edilen, Youmi’nin yıllardır Apple’ın özel API’larını incelediğini ve küçük uygulamalarla API sınırlarını zorlayıcı mini testler yaptığı yönünde. Bu testler sonucunda küçük de olsa bir kapı bulan Youmi ise, Apple’a farkettirmeden böyle bir güvenlik engelini aşabilmiş ve App Store’da yer alabilmiş.
SourceDNA ise bu açığı kendi uygulamalarını ve uygulamalarında kullandığı Youmi SDK’yı incelerken keşfetmiş. Bu da Apple’ın konuyu uzun bir süre farketmediğini ve önlem almadığını ortaya koyuyor. Apple’ın resmi olarak açıkladığı tek şey ise 250’den fazla uygulamanın App Store’dan kaldırılması.
Apple’ın önümüzdeki günlerde buna nasıl tepki vereceği, daha da önemlisi gelecekte App Store kurallarını nasıl şekillendireceği ise merakla bekleniyor.