在流行的iOS软件开发套件中发现了窃取应用内广告点击收入的恶意代码。
据网络安全公司Snyk 的一份报告称,该代码被隐藏在中国广告平台Mintegral的SDK中,该报告指出该SDK已被1,200多个应用程序使用,每月共下载3亿次。
与其他与广告相关的SDK一样,Mintegral套件允许开发人员将广告嵌入到他们的应用程序中,而无需花费很多精力或进行其他编码。Mintegral在iOS和Android上免费向开发人员提供SDK。
根据Snyk的说法,该软件套件的iOS版本包含恶意功能,这些功能会静默等待用户点击任何不属于Mintegral网络的广告。注册水龙头后,SDK会劫持引荐过程,并显示用户实际上在点击Mintegral广告。
本质上,SDK的恶意部分(称为“ SourMint”)正在从其他广告网络中窃取应用程序收入。许多应用使用多个广告SDK来多样化其获利策略。
苹果在给ZDNet的电子邮件中说,它已经与Snyk安全研究人员进行了交谈,没有看到任何证据表明该SDK损害了用户。苹果将第三方SDK整合恶意功能的能力作为其在2020年晚些时候在iOS 14中首次推出一系列注重隐私和安全性的机制的原因。
除了广告欺诈之外,Snyk还声称Mintegral工具包正在收集用户数据。其中包括访问过的URL,URL访问请求中包含的敏感信息以及设备的广告商标识符代码。
根据Snyk所说,“收集的数据范围大于合法点击归因所必需的范围。” 所有用户数据也都被发送到远程服务器。
Mintegral似乎也有部分代码试图隐藏所收集数据的性质。
Snyk没有发布使用Mintegral SDK的应用程序列表,用户无法知道应用程序制造商在其平台中使用了哪些开发套件。开发人员将需要查看他们自己的代码库,以识别和删除恶意工具包。据报道,该工具包的恶意部分已于2019年7月17日发布的5.5.1版中引入。Snyk指出,开发人员也可以在没有恶意代码的情况下降级到SDK的早期版本。
去哪儿今日正式纽交所上市最大融资额1 47亿美元。...
重庆银行H股上市终亮相助力小微企业融资突围。三家...
乳粉行业重组方案已上报国务院待批业界仍有争议。...
众筹平台Kickstarter迎来里程碑发展成功融资项目超...