广受欢迎的iOS SDK被控监听数十亿用户并进行广告欺诈

一款受欢迎的iOS软件开发工具包（SDK），用于1200多个应用程序—；移动用户总数超过10亿—；据说包含恶意代码，目的是实施移动广告点击欺诈并捕获敏感信息。

根据网络安全公司Snyk、Mintegral和#8212；中国移动广告技术公司Mobvista和#8212拥有的移动节目广告平台；包括一个SDK组件，允许它将URL、设备标识符、IP地址、操作系统版本和其他用户敏感数据从受损应用收集到远程日志服务器。

Snyk研究人员将恶意iOS SDK命名为“sourmit”。

Snyk的艾丽莎·米勒（Alyssa Miller）周一在一份分析报告中说：“恶意代码可以通过记录应用程序发出的基于URL的请求来监视用户活动。”。“此活动被记录到第三方服务器，可能包括个人身份信息（PII）和其他敏感信息。”

“此外，SDK欺诈性地报告用户点击广告的情况，从竞争对手的广告网络中窃取潜在收入，在某些情况下，还从应用程序的开发者/发布者那里窃取潜在收入，”米勒补充道。

尽管使用SDK的受损应用的名称尚未披露，但该代码已在Mintegral SDK（6.3.5.0）的iOS版本中被发现，恶意SDK的第一个版本可追溯到2019年7月17日（5.5.1）。然而，Android版本的SDK似乎没有受到影响。

劫持用户广告点击

声明SDK包含多个反调试保护，旨在隐藏应用程序的实际行为，Snyk发现的证据表明，Mintegral SDK不仅截获了应用程序内的所有广告点击，而且还利用这些信息欺诈性地将点击归因于其广告网络，即使是在竞争对手的广告网络提供了广告服务的情况下。


值得注意的是，具有应用内广告功能的应用包括来自多个广告网络的SDK，这些SDK都有广告中介的帮助。

分析发现，“当属性提供者试图将安装事件与注册的点击通知匹配时，它会找到两个匹配的。”。“使用最后一次点击属性模型，Mintegral点击通知被赋予属性，来自其他广告网络的点击通知被拒绝。”

换句话说，Mintegral一直在窃取其他广告网络的广告收入，声称来自另一个广告网络的广告是自己的，此外还剥夺了开发者的收入，即使该平台不被用于广告服务。

米勒说：“在我们的调查中，我们发现，一旦Mintegral SDK集成到应用程序中，即使Mintegral无法提供广告服务，它也会拦截点击。”。“在这种情况下，本应通过竞争广告网络返还给开发商或出版商的广告收入将永远不会支付给开发商。”

收集的数据超过了广告点击归因所需的数据

更令人担忧的是，SDK包含的功能旨在监听来自受影响应用程序的所有通信，收集的数据范围远远超过合法点击属性所需的范围。


记录的信息包括操作系统版本、IP地址、充电状态、Mintegral SDK版本、网络类型、型号、软件包名称、广告标识符（IDFA或广告商标识符）等。

米勒指出：“Mintegral试图通过防篡改控制和自定义专有编码技术来隐藏被捕获数据的性质，这让人想起分析TikTok应用程序的研究人员报告的类似功能。”。

虽然无法让用户知道他们是否在使用嵌入Mintegral SDK的应用程序，但第三方开发者必须检查他们的应用程序并删除SDK以堵塞数据泄漏。

就苹果而言，它在即将发布的iOS 14更新中引入了新的隐私功能，这使得第三方应用程序更难通过请求用户明确同意提供目标广告来跟踪用户。

更新：Mintegral发布声明否认SDK指控

在提供给黑客新闻的一份声明中，Mintegral的一位发言人说：

“我们想向我们的客户和合作伙伴保证，这些指控是不真实的。我们非常严肃地对待这件事，正在对这些指控及其来源进行彻底分析。”

“为了澄清我们的SDK如何工作的一些细节，我们的SDK通过公开的操作系统级Apple API收集信息。当我们的广告网络被调用来填写广告请求时，我们使用这些数据来选择最相关的广告。这是一种标准的行业技术，旨在为用户识别最合适的广告。”

“在8月24日的一封电子邮件中，苹果表示，它已经与Snyk研究人员就他们的报告进行了交谈，他们没有看到任何证据表明Mintegral SDK正在损害用户。我们的做法永远不会与苹果的服务条款相冲突，也不会违反客户的信任。我们永远不会将这些数据用于任何欺诈性的安装声明，并采取这些措施。”《关税协定》非常严肃。"

“说了这么多，再加上苹果即将发布的iOS14更新，我们已经计划在SDK中弃用这项功能。我们一直并正在与包括苹果在内的所有利益相关者进行持续沟通，我们觉得在iOS 14发布时，删除这项功能是客户和用户的最佳途径。”