อีกหนึ่งข้อมูลที่ถูกเปิดเผยในคดี Epic v. Apple เป็นอีเมลที่ถูกส่งภายใน เพื่อถกเรื่องการแจ้งผู้ใช้ที่ดาวน์โหลดแอปอันตราย กว่า 2,500 แอป ที่มียอดดาวน์โหลดกว่า 203 ล้านครั้ง โดยผู้ใช้กว่า 128 ล้านคน บน App Store ในปี 2015
ในอีเมลพูดถึงความยุ่งยากในการแปลภาษาให้ถูกต้องตามภาษาท้องถิ่น รวมถึงการแจ้งชื่อแอปที่อันตรายให้กับผู้ใช้ เนื่องจากแอปเหล่านี้ถูกดาวน์โหลดโดยผู้ใช้จากทั่วโลก ทำให้ผู้บริหารตัดสินใจไม่ส่งอีเมลแจ้งผู้ใข้ที่ได้รับผลกระทบโดยตรง
Apple เลือกที่จะเผยแพร่หน้าข่าวนี้บนเว็บไซต์แทน โดยแจ้งรายชื่อแอปอันตรายที่มียอดดาวน์โหลดสูงสุด 25 แอป แจ้งให้ผู้ใช้อัพเดตแอปเหล่านี้โดยด่วน และระบุว่าถอดแอปอันตรายที่ยังไม่ได้รับการอัพเดตออกไปจาก App Store แล้ว ก่อนจะลบออกไปในภายหลัง
แอปอันตรายเหล่านี้ เกิดจากนักพัฒนาที่ใช้แอป XcodeGhost ในการรีแพ็กเกจแอป ซึ่ง XcodeGhost เป็นแอปเถื่อนที่ใช้แทน Xcode ได้ และดาวน์โหลดได้ไวกว่า Xcode ในประเทศจีน (ซึ่งก่อนใช้งานจะถูกเตือนโดยระบบความปลอดภัย Gatekeeper บน macOS แต่นักพัฒนาหลายรายก็เลือกที่จะกดอนุญาต)
เมื่อนักพัฒนาใช้งาน XcodeGhost เพื่อรีแพ็กเกจแอป แอปนั้นๆ ก็จะถูกฝังโค้ดให้ iPhone รายงานข้อมูลเช่น ชื่อแอป ข้อมูลเครือข่ายของผู้ใช้, app-bundle identifier, ข้อมูล“identifierForVendor”, ชื่ออุปกรณ์, รุ่นอุปกรณ์ และหมายเลขระบุตัวตนของอุปกรณ์ ไปยังเซิฟเวอร์ภายนอก
อย่างไรก็ตาม Apple ไม่ใช่บริษัทเดียวที่เลือกไม่แจ้งผู้ใช้โดยตรง เพราะ Google เองก็เคยไม่แจ้งผู้ใช้ เมื่อดาวน์โหลดแอปอันตรายบน Android หรือ Extensions อันตรายบน Chrome มาแล้วเช่นกัน แต่ต่างกันที่เหตุการณ์ของ Google เกิดขึ้นในปี 2019 ส่วนฝั่ง Apple เป็นเหตุการณ์ในปี 2015 แต่ก็ยังไม่แน่ชัดว่าหากมีเหตุการณ์คล้ายกันในอนาคต Apple จะตัดสินใจอย่างไร
ที่มา – Ars Technica