一份新的報告稱�,已經(jīng)發(fā)現(xiàn)一種流行的中文移動廣告SDK包含能夠監(jiān)視iOS用戶并竊取廣告收入的惡意代碼。
根據(jù)安全公司Snyk的說法���,Mintegral SDK已在1,200個不同的iOS應(yīng)用程序中使用���,每月有超過3億次集體下載,因此總安裝量達(dá)到數(shù)十億�。
Android和iOS開發(fā)人員均可使用免費(fèi)的SDK將第三方廣告嵌入其應(yīng)用程序。但是�,據(jù)說用于iOS的Mintegral SDK可以隱藏惡意代碼,從而可以監(jiān)控用戶活動并從競爭對手那里竊取廣告收入�����。
這是我們最好的iPhone VPN服務(wù)列表
看看我們的名單最好的網(wǎng)絡(luò)營銷服務(wù)各地
我們已經(jīng)建立了最好的iPhone防病毒應(yīng)用程序列表
每當(dāng)用戶點擊不在Mintegral網(wǎng)絡(luò)上投放的廣告時��,SDK都會將自己插入到推介過程中��,從而使iOS誤以為用戶完全點擊了另一則廣告��。
Mintegral iOS SDK
除了與廣告歸因欺詐有關(guān)的指控外�����,Snyk報告還聲稱Mintegral iOS SDK的構(gòu)建目的是秘密收集有關(guān)用戶的信息。
據(jù)報道�,在將信息發(fā)送到遠(yuǎn)程日志記錄服務(wù)器之前,SDK會記錄通過受感染的應(yīng)用程序發(fā)出的所有基于URL的請求的詳細(xì)信息��。收集的數(shù)據(jù)類型如下:
所請求的URL��,可能包含標(biāo)識符和其他敏感信息
發(fā)出的請求的標(biāo)頭�����,其中可能包括身份驗證令牌
請求在應(yīng)用程序代碼中的何處發(fā)起�,這可以幫助識別用戶模式
設(shè)備的廣告商標(biāo)識符(IDFA)和唯一的硬件標(biāo)識符
Synk的應(yīng)用程序安全倡導(dǎo)者Alyssa Miller解釋說:“試圖通過反篡改控件和自定義專有編碼技術(shù)來隱藏捕獲的數(shù)據(jù)的性質(zhì)��,讓人想起了分析TikTok應(yīng)用程序的研究人員報告的類似功能�������! �����。
“在[Mintegral iOS SDK]的情況下��,所收集數(shù)據(jù)的范圍大于合法點擊歸因的必要范圍����!
根據(jù)Snyk的說法,SDK的第一個惡意版本于2019年7月17日啟動�����,發(fā)現(xiàn)所有后續(xù)版本都包含相同的功能��。
該安全公司拒絕發(fā)布受影響的應(yīng)用程序列表��,但聲稱“許多受歡迎的應(yīng)用程序都受到此SDK的惡意活動的影響”��。
但是��,Mintegral此后發(fā)表了一份聲明����,其中公司否認(rèn)有任何不當(dāng)行為以及對與Apple進(jìn)行持續(xù)合作的姿態(tài)。
“最近����,Snyk的一份報告指責(zé)Mintegral實施欺詐和侵犯隱私的不法行為。Mintegral否認(rèn)這些指控��,”讀聲明。
“ Mintegral表示非常重視隱私和欺詐問題�,并正在對這些指控及其來歷進(jìn)行徹底的分析�����!
該組織還指出����,蘋果公司已經(jīng)與研究人員就他們的報告進(jìn)行了交談���,并在8月24日的一封電子郵件中解釋說��,蘋果尚未發(fā)現(xiàn)Mintegral SDK用來監(jiān)視用戶的任何證據(jù)���。
Mintegral的做法從未與Apple的服務(wù)條款發(fā)生沖突或侵犯了客戶的信任。Mintegral確保數(shù)據(jù)永遠(yuǎn)不會被用于任何欺詐性安裝索賠����,并非常認(rèn)真地對待這些指控�!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
