iOS: un SDK pubblicitario dannoso ruba click e dati degli utenti

iOS: un SDK pubblicitario dannoso ruba click e dati degli utenti

La versione per iOS dell'SDK della piattaforma pubblicitaria Mintegral dirotta i click dell'utente e raccoglie una serie di informazioni come URL visitati e identificatori di dispositivo

di pubblicata il , alle 14:01 nel canale Apple
iOS
 

L'SDK per iOS della piattaforma pubblicitaria cinese Mintegral contiene frammenti di codice che sottraggono in maniera illecita i guadagni generati dai clic sugli annunci delle app: la scoperta è ad opera della società di sicurezza informatica Snyk, la quale sottolinea inoltre che l'SDK viene utilizzato da oltre 1200 app per una diffusione complessiva di 300 milioni di download al mese.

Come avviene con altri SDK di piattaforme pubblicitarie, il kit di Mintegral offre agli sviluppatori la possibilità di integrare annunci nelle proprie app in maniera semplice e senza necessità di programmazione aggiuntive. Mintegral mette a disposizione SDK gratuiti per iOS e Android.

Snyk ha però scoperto che la versione iOS dell'SDK contiene alcune funzionalità non del tutto lecite che attendono in segreto che l'utente tocchi qualsiasi annuncio pubblicitario che non appartiene alla rete Mintegral. Nel momento in cui viene registrato un tocco, l'SDK dirotta il processo di riferimento così da far sembrare che l'utente abbia cliccato su un annuncio della piattaforma Mintegral. La parte dannosa dell'SDK, soprannominata SourMint, va quindi effettivamente a "rubare" le entrate delle app da altre reti pubblicitarie. Molte app infatti fanno uso di più SDK di differenti piattaforme pubblicitarie per diversificare le proprie entrate e le strategie di monetizzazione.


Schema del funzionamento del processo di attribuzione del click con l'SDK Mintegral - Fonte: Snyk

Oltre alla frode pubblicitaria, Snyk sostiene anche che il kit di Mintegral raccolga informazioni e dati relativi agli utenti come indirizzi web visitati, informazioni sensibili nelle richieste di visita dell'URL e anche l'identificatore del dispositivo per il codice degli inserzionisti. La società di sicurezza sostiene che la portata dei dati raccolti è maggiore di quanto sarebbe necessario per l'attribuzione dei clic. Tutti i dati raccolti sarebbero inoltre inviati ad un server remoto. E, infine, l'SDK Mintegral sembra contenere anche porzioni di codice con lo scopo di nascondere la natura dei dati raccolti.

Attualmente non è disponibile un elenco, anche solo parziale, di app che fanno uso dell'SDK di Mintegral e gli utenti non hanno modo di sapere di quali kit di sviluppo decida di avvalersi un produttore di app. Gli sviluppatori dovranno revisionare i propri codici per identificare e rimuovere il kit. La parte di codice dannoso sembra essere stata introdotta nella versione 5.5.51 rilasciata più di un anno fa. Secondo Snyk è possibile eseguire il downgrade ad una versione precedente dell'SDK che non contiene il codice dannoso.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^