Un SDK volerait des revenus publicitaires sur iOS

by admin
Un SDK volerait des revenus publicitaires sur iOS

Dans un rapport explosif publié hier, la société de sécurité Snyk affirme avoir trouvé un code malveillant dans un SDK iOS populaire, utilisé par plus de 1 200 applications iOS, téléchargées au total plus de 300 millions de fois par mois.

Selon Snyk, ce code malveillant était caché dans le SDK iOS de Mintegral, une plateforme publicitaire chinoise.

publicité

Détournement des revenus publicitaires

Mintegral fournit gratuitement ce SDK aux développeurs d’applications Android et iOS. Ils l’utilisent pour intégrer des publicités dans leurs applications avec seulement quelques lignes de code, afin de réduire le temps et les coûts de développement.

Mais Snyk affirme que la version iOS de ce SDK contient des fonctionnalités malveillantes qui restent silencieusement en arrière-plan d’une application iOS en attendant qu’un utilise clique sur n’importe quelle publicité qui n’est pas la sienne (les applications mobiles utilisent régulièrement plusieurs SDK publicitaires, pour diversifier leurs publicités et leurs stratégies de monétisation).

Lorsqu’un clic sur une publicité a été effectué, le SDK Mintegratal détourne le processus de renvoi de clic, faisant croire au système d’exploitation iOS sous-jacent que l’utilisateur a cliqué sur une de ses publicités, au lieu de celles d’un concurrent, ce qui prive effectivement l’utilisateur des revenus d’autres SDK et réseaux publicitaires.

<

p align=”center”>mintegral-sdk.png

Image : Snyk.

Vol de données sensibles

Non seulement Mintegral se livrerait à des fraudes publicitaires, mais Snyk affirme que le SDK contient également d’autres fonctionnalités visant à enregistrer et à recueillir des informations sur les utilisateurs.

« Snyk a également appris que le SDK Mintegral capture les détails de chaque requête basée sur l’URL faite à partir de l’application compromise », précise la société dans un article de blog.

Ces informations sont enregistrées puis envoyées à un serveur distant, et comprennent des détails tels que :

  • l’URL demandée, qui peut éventuellement contenir des identifiants ou d’autres informations sensibles ;
  • les en-têtes de la demande qui a été faite, qui peuvent inclure des jetons d’authentification et d’autres informations sensibles ;
  • l’origine de la requête dans le code de l’application, ce qui pourrait aider à identifier des habitudes d’utilisateur ;
  • l’identifiant de l’appareil pour les annonceurs (IDFA), un numéro aléatoire unique utilisé pour identifier l’appareil et l’identifiant matériel unique de l’appareil, l’IMEI.

Collecte de données au-delà du nécessaire

« Les tentatives de Mintegral de dissimuler la nature des données saisies, à la fois par des contrôles anti-falsification et une technique d’encodage propriétaire et personnalisée, rappellent des fonctionnalités similaires signalées par des chercheurs qui ont analysé l’application Tik Tok », détaille Alyssa Miller, responsable de la sécurité des applications chez Snyk.

« Dans le cas de SourMint [*nom de code donné par Snyk au SDK iOS Mintegral], l’étendue des données collectées est plus importante que ce qui serait nécessaire pour l’attribution légitime des clics », ajoute-t-elle.

Snyk n’a pas publié de liste des applications iOS utilisant le SDK Mintegral. Cependant, la société précise que la première version du SDK où ils ont trouvé le code malveillant était la 5.5.1, publiée le 17 juillet 2019.

Les utilisateurs impuissants

Les utilisateurs d’iOS n’ont aucun moyen de savoir s’ils utilisent une application qui charge secrètement le SDK Mintegral, et ne peuvent donc rien faire pour protéger leurs informations privées et habitudes de navigation.

Néanmoins, les développeurs d’applications peuvent utiliser les informations du rapport Snyk pour revoir la base de code de leur application et supprimer le SDK, ou passer à une version où le code malveillant n’était pas présent.

Mintegral n’a pas commenté.

Réaction d’Apple

Dans un courriel, Apple raconte avoir contacté les chercheurs de Snyk au sujet de leur rapport, et qu’ils n’ont vu aucune preuve que le SDK Mintegral nuit aux utilisateurs, du moins pour le moment.

La firme de Cupertino explique que les développeurs d’applications sont responsables des SDK qu’ils mettent dans leurs applications, et que de nombreuses bibliothèques tierces peuvent inclure du code qui peut être mal interprété et abusé en raison de ses fonctionnalités spécifiques, des situations qu’Apple a connues par le passé.

Apple ajoute que ces SDK à double fonctionnalité sont la raison pour laquelle elle a choisi ces dernières années d’étendre les contrôles de confidentialité existant désormais pour les utilisateurs d’iOS, en pointant plus particulièrement un grand nombre de nouvelles fonctionnalités qui renforceront la confidentialité, qui devraient arriver plus tard cette année, avec la sortie d’iOS 14, qui aidera à démasquer plus facilement les applications et SDK portant atteinte à la vie privée.

Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading