マイク・ピーターソン
· 2分で読めます
クレジット: Mintegral
人気のiOSソフトウェア開発キットで、アプリ内の広告クリック収入を盗む悪意のあるコードが発見されました。
サイバーセキュリティ企業Snykの報告によると、このコードは中国の広告プラットフォームMintegralのSDKに隠されていたという。同報告によると、このSDKは1,200以上のアプリで使用されており、月間合計3億回ダウンロードされているという。
他の広告関連SDKと同様に、Mintegralキットを使用すると、開発者は手間をかけずに、追加のコーディングなしでアプリ内に広告を埋め込むことができます。Mintegralは、iOSとAndroidの両方で開発者にSDKを無料で提供しています。
Snykによると、iOS版のソフトウェアキットには、ユーザーがMintegralネットワークに属さない広告をタップするのを静かに待ち受ける悪意のある機能が含まれているという。タップが記録されると、SDKはリファラルプロセスを乗っ取り、ユーザーが実際にはMintegralの広告をクリックしたように見せかける。
本質的には、SDKの悪意ある部分(「SourMint」と呼ばれる)は、他の広告ネットワークからアプリの収益を盗むものです。多くのアプリは、収益化戦略を多様化するために複数の広告SDKを使用しています。
AppleはZDNetへのメールで、Snykのセキュリティ研究者と話をしたが、SDKがユーザーに危害を与えているという証拠は見当たらないと述べた。Appleは、サードパーティ製SDKが悪意のある機能を組み込む可能性があることを理由に、2020年後半にリリース予定のiOS 14でプライバシーとセキュリティに重点を置いた一連のメカニズムを導入するとした。
Snykは、広告詐欺に加え、Mintegralキットがユーザーデータを収集していると主張しています。収集されるデータには、アクセスしたURL、URLアクセスリクエストに含まれる機密情報、デバイスの広告主向け識別子(ID)が含まれます。
Snykによると、「収集されるデータの範囲は、正当なクリック帰属に必要な範囲を超えている」とのことだ。また、すべてのユーザーデータはリモートサーバーに送信される。
Mintegral には、収集されるデータの性質を隠そうとするコード部分もあるようです。
SnykはMintegral SDKを使用しているアプリのリストを公開しておらず、ユーザーはアプリ開発者が自社のプラットフォームでどの開発キットを使用しているかを知る方法がありません。開発者は、自身のコードベースを確認し、悪意のあるキットを特定して削除する必要があります。このキットの悪意のある部分は、2019年7月17日にリリースされたバージョン5.5.1で導入されたと報告されています。Snykによると、開発者は悪意のあるコードを含まない以前のバージョンのSDKにダウングレードすることも可能です。
