SDK de iOS acusado de espiar a miles de millones de usuarios y cometer fraude publicitario

Se dice que un popular kit de desarrollo de software (SDK) de iOS utilizado por más de 1200 aplicaciones, con un total de más de mil millones de usuarios móviles, contiene código malicioso con el objetivo de perpetrar fraudes de clics en anuncios móviles y capturar información confidencial.

Según un informe publicado por la empresa de ciberseguridad Snyk, Mintegral, una plataforma de publicidad programática móvil propiedad de la empresa china de tecnología publicitaria móvil Mobvista, incluye un componente SDK que le permite recopilar URL, identificadores de dispositivos, dirección IP, versión del sistema operativo y otros usuarios. datos confidenciales de aplicaciones comprometidas a un servidor de registro remoto.

El SDK de iOS malicioso ha sido llamado 'SourMint' por los investigadores de Snyk.

'El código malicioso puede espiar la actividad del usuario al registrar solicitudes basadas en URL realizadas a través de la aplicación', dijo Alyssa Miller de Snyk en un análisis del lunes. 'Esta actividad se registra en un servidor de terceros y podría incluir información de identificación personal (PII) y otra información confidencial'.

Además, el SDK informa de forma fraudulenta los clics de los usuarios en los anuncios, robando ingresos potenciales de las redes publicitarias de la competencia y, en algunos casos, del desarrollador / editor de la aplicación', añadió Miller.

Aunque los nombres de las aplicaciones comprometidas que usan el SDK no se han revelado, el código se descubrió en la versión iOS del Mintegral SDK (6.3.5.0), y la primera versión del SDK malicioso data del 17 de julio de 2019 (5.5 .1). Sin embargo, la versión de Android del SDK no parece verse afectada.

Secuestro de clics en anuncios de usuarios

Al afirmar que el SDK contiene varias protecciones anti-depuración con la intención de ocultar el comportamiento real de la aplicación, Snyk descubrió evidencia de que el SDK de Mintegral no solo intercepta todos los clics en anuncios dentro de una aplicación, sino que también usa esta información para atribuir fraudulentamente el clic a su red publicitaria. incluso en los casos en los que una red publicitaria de la competencia ha publicado el anuncio.

Vale la pena señalar que las aplicaciones que presentan anuncios en la aplicación incluyen SDK de múltiples redes publicitarias con la ayuda de mediadores publicitarios.

'Cuando el proveedor de atribución intenta hacer coincidir el evento de instalación con las notificaciones de clics registrados, encuentra dos que coinciden', encontró el análisis. 'Utilizando un modelo de atribución de último toque, la notificación de clic de Mintegral recibe la atribución y la notificación de clic de la otra red publicitaria se rechaza'.

En otras palabras, Mintegral ha estado robando ingresos publicitarios de otras redes publicitarias al reclamar los anuncios de una red publicitaria diferente como propios, además de robar a los desarrolladores sus ingresos incluso cuando la plataforma no se utiliza para publicar anuncios.

'En nuestra investigación, descubrimos que una vez que el SDK de Mintegral se integra en una aplicación, intercepta los clics incluso si Mintegral no está habilitado para publicar anuncios', dijo Miller. 'En este caso, los ingresos por publicidad que deberían haber regresado al desarrollador o editor a través de una red publicitaria de la competencia nunca se pagarán al desarrollador'.

La información registrada incluye la versión del sistema operativo, la dirección IP, el estado de carga, la versión del SDK de Mintegral, el tipo de red, el modelo, el nombre del paquete, el identificador de publicidad (IDFA o identificador para anunciantes) y más.

'Los intentos de Mintegral de ocultar la naturaleza de los datos que se capturan, tanto a través de controles anti-manipulación como de una técnica de codificación patentada personalizada, recuerdan una funcionalidad similar informada por investigadores que analizaron la aplicación TikTok', señaló Miller.

Si bien no hay forma de que los usuarios sepan si están usando una aplicación que incorpora el SDK de Mintegral, es imperativo que los desarrolladores externos revisen sus aplicaciones y eliminen el SDK para tapar la fuga de datos.

Por su parte, Apple está introduciendo nuevas funciones de privacidad en su próxima actualización de iOS 14 que dificulta que las aplicaciones de terceros rastreen a los usuarios solicitando su consentimiento explícito para publicar anuncios dirigidos.

Actualización: Mintegral publica una declaración que niega las acusaciones de SDK

En una declaración proporcionada a The Hacker News, un portavoz de Mintegral dijo:

'Nos gustaría asegurar a nuestros clientes y socios que estas acusaciones no son ciertas. Nos estamos tomando este asunto muy en serio y estamos llevando a cabo un análisis exhaustivo de estas acusaciones y de dónde provienen ”.

'Para aclarar algunos detalles sobre cómo funciona nuestro SDK, nuestro SDK recopila información a través de una API de Apple a nivel de sistema operativo disponible públicamente. Usamos estos datos para seleccionar el anuncio más relevante cuando se llama a nuestra red publicitaria para completar una solicitud de anuncio. Esta es una técnica estándar de la industria con el propósito de identificar el anuncio más apropiado para un usuario '.

En un correo electrónico con fecha del 24 de agosto, Apple dijo que ha hablado con los investigadores de Snyk sobre su informe y que no han visto ninguna evidencia de que Mintegral SDK esté dañando a los usuarios. Nuestras prácticas nunca entrarán en conflicto con los términos de servicio de Apple ni violarán la confianza del cliente. Nunca utilizaríamos estos datos para reclamos de instalación fraudulentos y nos tomamos muy en serio estas acusaciones.

Con todo esto dicho, junto con las próximas actualizaciones de iOS14 de Apple, ya habíamos planeado desaprobar esta funcionalidad en el SDK de todos modos. Hemos estado y estamos en comunicación constante con todas las partes interesadas, incluida Apple, y sentimos que eliminar esta funcionalidad era la mejor ruta para los clientes y usuarios cuando se lanza iOS 14 '.