Специалисты компании Snyk опубликовали отчет, посвященный подозрительному SDK для iOS, который используют более 1200 приложений, суммарно насчитывающие до 300 000 000 загрузок ежемесячно. Речь в отчете идет о китайской рекламной платформе Mintegral.

Исследователи не приводят список пострадавших приложений, но сообщают, что первой вредоносной версией SDK была версия 5.5.1, выпущенная 17 июля 2019 года.

­Mintegral — это бесплатный SDK для разработчиков приложений под Android и iOS. Разработчики используют его для встраивания рекламы в свои продукты, причем это требует всего нескольких строк кода, что позволяет значительно сократить время и затраты на разработку.

Однако, по данным Snyk, iOS-версия этого SDK несет в себе вредоносные функции, а именно втайне ожидает нажатия на любую чужую рекламу. Дело в том, что мобильные приложения регулярно используют несколько рекламных SDK для диверсификации своей рекламы и стратегий монетизации. В итоге, если пользователь нажимает на рекламное объявление, Mintegratal перехватывает этот клик и заставляет iOS поверить, что пользователь нажал не на рекламу конкурента, а на одно из объявлений Mintegratal. По сути, это лишает доходов другие SDK и рекламные сети.

Кроме того исследователи пишут, что SDK содержит и другие скрытые функции, в том числе направленные на сбор информации о пользователях. Так, в числе прочего, на удаленный сервер передаются следующие данные:

  • запрошенный URL (может содержать идентификаторы или другую конфиденциальную информацию);
  • хедер сделанного запроса (может содержать токены аутентификации и другую конфиденциальную информацию);
  • рекламный идентификатор IDFA, который представляет собой уникальное случайное число, используемое для идентификации устройства, а также IMEI.

«Попытки Mintegral скрыть характер собираемых данных, как с помощью средств защиты от несанкционированного доступа, так и с помощью собственных техники кодирования, напоминают аналогичные функции, которые исследователи обнаруживали в приложении Tik Tok. В случае SourMint [­кодовое имя ­Mintegral SDK], объем собираемых данных явно превышает значения, необходимые для легитимной атрибуции кликов», — говорит специалистка Snyk Алисса Миллер (Alyssa Miller).

Интересно, что представители компании Apple сообщили исследователям, что на данный момент они не видят никаких доказательств того, что Mintegral SDK наносит какой-то вред пользователям. Производитель заявил, что разработчики приложений сами несут ответственность за те SDK, которые они внедряют в код приложений, и им следует проявлять осторожность. Ведь многие сторонние библиотеки могут содержать код, который может быть неверно истолкован или подвержен злоупотреблениям.

1 комментарий

  1. Аватар

    0d8bc7

    27.08.2020 в 18:04

    > представители компании Apple сообщили исследователям, что на данный момент они не видят никаких доказательств того, что Mintegral SDK наносит какой-то вред пользователям
    Т.е. сбор информации о пользователе без его явного согласия на это — не вред? Ясно…

Оставить мнение