开发人员安全公司Snyk的研究人员声称,他们已经识别出广告SDK中的恶意行为,该广告SDK存在于Apple App Store中提供的1200多种iOS应用程序中。
该SDK由Mintegral开发,Mintegral是一家中国移动广告平台提供商,在美国,欧洲和亚洲设有办事处。Snyk说,它仅在iOS版本的Mintegral广告SDK中发现了恶意行为;该代码似乎在Android版本中不存在。该公司估计,每月受影响的1200个iOS应用大约下载了3亿次。
根据Snyk的说法,其研究人员发现了他们描述为可追溯到5.5.1(于2019年7月发布)的iOS SDK版本中的恶意代码。他们进行分析的代码来自Mintegral的官方GitHub帐户。
Snyk说,被称为“ SourMint”的SDK可以使Mintegral窃取集成了该SDK的应用程序使用的其他广告网络的收入。据称,除了广告欺诈之外,它还会收获通过使用SDK的应用程序访问的URL以及其他系统和设备信息,这些URL可以使供应商访问高度敏感的信息,如Snyk在视频中所示。SecurityWeek已联系Mintegral征求意见,如果公司做出回应,它将更新本文。
“开发人员可以注册为发布者,并从Mintegral网站下载SDK。加载后,SDK会将代码注入到应用程序内的标准iOS功能中,这些功能在应用程序从应用程序内部打开URL(包括应用程序商店链接)时执行。” Snyk研究人员说。“这使SDK可以访问大量数据,甚至可能包含私人用户信息。该SDK还专门检查了这些开放的URL事件,以确定竞争对手的广告网络SDK是否是该活动的来源。”
该公司指出,这种行为似乎是故意的,因为SDK在启动这些活动之前会寻找调试器和代理工具的迹象。这可能是为了确定是否正在对其进行分析,也可能是一种绕过Apple对App Store上发布的应用程序进行审查的方法,因为如果观察其行为,其行为将有所不同。
“ SourMint作为第一个渗透到iOS生态系统中的恶意SDK,非常复杂。Snyk联合创始人兼CSO Danny Grander表示,它利用各种混淆和反调试技巧避免了这么长时间的检测。“开发人员在部署该应用程序时并未意识到该恶意程序包,因此该程序包可以扩散超过一年。”
更新:苹果公司表示已与Snyk研究人员进行了交谈,以确保已充分了解这项研究,但该科技巨头尚未发现证据表明使用Mintegral SDK的应用程序正在损害用户。
该公司表示,应用程序开发人员应对其产品的行为(包括第三方代码的行为)负责,并且在使用第三方代码时应谨慎行事,以确保其不会意外破坏安全性和隐私性。
另一方面,Apple指出Snyk进行的研究表明,第三方代码可能会引入意外的功能。该公司表示,研究人员描述的行为类型太普遍了,这就是为什么它一直在采取步骤为用户提供对其数据的更多控制权,并确保应用程序对所收集的数据透明的原因。