Специалисты компании Snyk опубликовали отчет, посвященный подозрительному SDK для iOS, который используют более 1200 приложений, суммарно насчитывающие до 300 000 000 загрузок ежемесячно. Речь в отчете идет о китайской рекламной платформе Mintegral.
Исследователи не приводят список пострадавших приложений, но сообщают, что первой вредоносной версией SDK была версия 5.5.1, выпущенная 17 июля 2019 года.
Mintegral — это бесплатный SDK для разработчиков приложений под Android и iOS. Разработчики используют его для встраивания рекламы в свои продукты, причем это требует всего нескольких строк кода, что позволяет значительно сократить время и затраты на разработку.
Однако, по данным Snyk, iOS-версия этого SDK несет в себе вредоносные функции, а именно втайне ожидает нажатия на любую чужую рекламу. Дело в том, что мобильные приложения регулярно используют несколько рекламных SDK для диверсификации своей рекламы и стратегий монетизации. В итоге, если пользователь нажимает на рекламное объявление, Mintegratal перехватывает этот клик и заставляет iOS поверить, что пользователь нажал не на рекламу конкурента, а на одно из объявлений Mintegratal. По сути, это лишает доходов другие SDK и рекламные сети.
Кроме того исследователи пишут, что SDK содержит и другие скрытые функции, в том числе направленные на сбор информации о пользователях. Так, в числе прочего, на удаленный сервер передаются следующие данные:
- запрошенный URL (может содержать идентификаторы или другую конфиденциальную информацию);
- хедер сделанного запроса (может содержать токены аутентификации и другую конфиденциальную информацию);
- рекламный идентификатор IDFA, который представляет собой уникальное случайное число, используемое для идентификации устройства, а также IMEI.
«Попытки Mintegral скрыть характер собираемых данных, как с помощью средств защиты от несанкционированного доступа, так и с помощью собственных техники кодирования, напоминают аналогичные функции, которые исследователи обнаруживали в приложении Tik Tok. В случае SourMint [кодовое имя Mintegral SDK], объем собираемых данных явно превышает значения, необходимые для легитимной атрибуции кликов», — говорит специалистка Snyk Алисса Миллер (Alyssa Miller).
Интересно, что представители компании Apple сообщили исследователям, что на данный момент они не видят никаких доказательств того, что Mintegral SDK наносит какой-то вред пользователям. Производитель заявил, что разработчики приложений сами несут ответственность за те SDK, которые они внедряют в код приложений, и им следует проявлять осторожность. Ведь многие сторонние библиотеки могут содержать код, который может быть неверно истолкован или подвержен злоупотреблениям.