Рекламный SDK, который используют 1200 приложений для iOS, крадет чужие клики

Специалисты компании Snyk опубликовали отчет, посвященный подозрительному SDK для iOS, который используют более 1200 приложений, суммарно насчитывающие до 300 000 000 загрузок ежемесячно. Речь в отчете идет о китайской рекламной платформе Mintegral.

Исследователи не приводят список пострадавших приложений, но сообщают, что первой вредоносной версией SDK была версия 5.5.1, выпущенная 17 июля 2019 года.

­Mintegral — это бесплатный SDK для разработчиков приложений под Android и iOS. Разработчики используют его для встраивания рекламы в свои продукты, причем это требует всего нескольких строк кода, что позволяет значительно сократить время и затраты на разработку.

Однако, по данным Snyk, iOS-версия этого SDK несет в себе вредоносные функции, а именно втайне ожидает нажатия на любую чужую рекламу. Дело в том, что мобильные приложения регулярно используют несколько рекламных SDK для диверсификации своей рекламы и стратегий монетизации. В итоге, если пользователь нажимает на рекламное объявление, Mintegratal перехватывает этот клик и заставляет iOS поверить, что пользователь нажал не на рекламу конкурента, а на одно из объявлений Mintegratal. По сути, это лишает доходов другие SDK и рекламные сети.

Кроме того исследователи пишут, что SDK содержит и другие скрытые функции, в том числе направленные на сбор информации о пользователях. Так, в числе прочего, на удаленный сервер передаются следующие данные:

  • запрошенный URL (может содержать идентификаторы или другую конфиденциальную информацию);
  • хедер сделанного запроса (может содержать токены аутентификации и другую конфиденциальную информацию);
  • рекламный идентификатор IDFA, который представляет собой уникальное случайное число, используемое для идентификации устройства, а также IMEI.

«Попытки Mintegral скрыть характер собираемых данных, как с помощью средств защиты от несанкционированного доступа, так и с помощью собственных техники кодирования, напоминают аналогичные функции, которые исследователи обнаруживали в приложении Tik Tok. В случае SourMint [­кодовое имя ­Mintegral SDK], объем собираемых данных явно превышает значения, необходимые для легитимной атрибуции кликов», — говорит специалистка Snyk Алисса Миллер (Alyssa Miller).

Интересно, что представители компании Apple сообщили исследователям, что на данный момент они не видят никаких доказательств того, что Mintegral SDK наносит какой-то вред пользователям. Производитель заявил, что разработчики приложений сами несут ответственность за те SDK, которые они внедряют в код приложений, и им следует проявлять осторожность. Ведь многие сторонние библиотеки могут содержать код, который может быть неверно истолкован или подвержен злоупотреблениям.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • > представители компании Apple сообщили исследователям, что на данный момент они не видят никаких доказательств того, что Mintegral SDK наносит какой-то вред пользователям
    Т.е. сбор информации о пользователе без его явного согласия на это — не вред? Ясно...

Похожие материалы