All’interno di in un popolare kit di sviluppo software di annunci per iOS è stato rivenuto un codice dannoso che ruba le entrate derivanti dai click sugli annunci e raccoglie i dati degli utenti.
Secondo un rapporto della società di sicurezza informatica Snyk, il codice è nascosto nell’SDK della piattaforma pubblicitaria cinese Mintegral, SDK utilizzato da più di 1.200 app che vengono scaricate complessivamente oltre 300 milioni di volte al mese.
Come altri SDK relativi alla pubblicità, il kit Mintegral, disponibile gratuitamente su iOS e Android, consente agli sviluppatori di incorporare annunci nelle loro app senza troppi sforzi o codifiche aggiuntive.
Secondo Snyk, la versione iOS del kit contiene funzionalità dannose che attendono silenziosamente che un utente tocchi qualsiasi annuncio che non appartiene alla rete Mintegral. Quando viene registrato un tocco, l’SDK dirotta il processo di riferimento e fa sembrare che l’utente stia facendo click su un annuncio Mintegral. In sostanza, il codice dannoso dell’SDK, soprannominato “SourMint”, ruba le entrate da altre reti pubblicitarie.
Inoltre, Snyk afferma anche che il kit Mintegral raccoglie dati sugli utenti. Ciò include gli URL visitati, le informazioni sensibili contenute in una richiesta di visita dell’URL e l’identificatore di un dispositivo per il codice degli inserzionisti. Tutti i dati dell’utente vengono poi inviati a un server remoto.
Snyk, al momento, non ha rilasciato un elenco di app che utilizzano l’SDK di Mintegral e gli utenti non hanno modo di sapere quali kit di sviluppo utilizza un produttore di app sulle proprie piattaforme. Secondo quanto riferito, la parte dannosa del kit è stata introdotta nella versione 5.5.1, rilasciata il 17 luglio 2019.
In un’e-mail a ZDNet, però, Apple ha dichiarato di aver parlato con i ricercatori di sicurezza di Snyk e di non avere alcuna prova che l’SDK del kit di sviluppo per annunci di Mintegral stia effettivamente danneggiando gli utenti. Ad ogni modo, l’azienda ha assicurato che con l’arrivo di iOS 14 saranno presenti una serie di nuove funzionalità riguardanti la privacy che aiuteranno a smascherare facilmente app e SDK che danneggiano la privacy degli utenti.