Selon un rapport récent, un SDK publicitaire chinois très populaire contiendrait un code malveillant capable d'espionner les utilisateurs d'iOS et de détourner des recettes publicitaires.
Repéré par le cabinet de cybersécurité Snyk, le SDK de la société Mintegral est utilisé dans plus de 1 200 applications différentes de l’App Store, cumulant ainsi plus de 300 millions de téléchargements par mois et donc des millions d'installations.
Les SDK sont employés par les développeurs d'Android et d'iOS pour intégrer des publicités d'éditeurs tiers dans leurs applications. Cependant, le SDK de Mintegral pour iOS dissimulerait quant à lui un tout autre dessein. Il surveillerait, en effet, l'activité des utilisateurs et volerait les revenus publicitaires de ses concurrents.
- iOS 14 : à quoi faut-il s'attendre ?
- Amazon Alexa : une faille de sécurité permettrait d'écouter toutes vos conversations
- Des hackers qui s’infiltrent chez vous ? Le son de vos clés leur suffit aujourd'hui
Chaque fois qu'un utilisateur clique sur une annonce qui n'est pas diffusée par le réseau Mintegral, le SDK s'insère dans le processus de recommandation, faisant croire à iOS que le visiteur a cliqué sur une annonce entièrement différente.
Une affaire qui rappelle celle de Tik Tok ?
En plus des accusations de fraude sur l'attribution des publicités, le rapport de la société Snyk affirme également que le SDK de Mintegral a été conçu pour collecter furtivement des informations sur l'utilisateur.
Le SDK enregistrerait les détails de toutes les requêtes basées sur des URL faites via les applications compromises, avant d'envoyer les informations sur un serveur à distance. Les types de données collectées sont énumérés ci-dessous :
- Une URL qui peut éventuellement subtiliser des identifiants et d'autres informations sensibles
- Des en-têtes qui peuvent inclure des jetons d’authentification
- Le code de l’application qui pourrait aider à identifier les habitudes des utilisateurs
- L'identifiant pour les annonceurs (IDFA) et l'identifiant de l’appareil lui-même
"Les tentatives de dissimulation de la nature des données saisies, à la fois par des contrôles anti-falsification et une technique de codage propriétaire personnalisée, rappellent des fonctionnalités similaires signalées par les chercheurs qui ont analysé l'application TikTok", a expliqué Alyssa Miller, responsable de la sécurité des applications chez Snyk. "Dans le cas du SDK de Mintegral pour iOS, les données collectées sont plus étendues que ce qui est nécessaire pour l'attribution légitime des clics".
Selon Snyk, la première version malveillante du SDK a été lancée le 17 juillet 2019 et toutes les versions ultérieures se sont avérées contenir les mêmes fonctionnalités. L'entreprise de sécurité a refusé de publier une liste des applications concernées, mais affirme que "de nombreuses applications populaires ont été affectées par les activités malveillantes de ce SDK".
Cependant, Mintegral a depuis publié une déclaration dans laquelle la firme nie toute implication, ne souhaitant pas mettre en danger sa coopération actuelle avec Apple. "Récemment, un rapport de Snyk a accusé Mintegral de malversations, de fraudes et d’atteinte à la vie privée. Mintegral nie ces allégations", peut-on lire dans la déclaration en question.
Mintegral a déclaré qu'elle prenait très au sérieux les questions de vie privée et de fraude et qu'elle mènerait une enquête approfondie sur ces allégations et leur origine. La société note également qu'Apple a discuté avec les chercheurs de Snyk et que dans un courriel daté du 24 août, elle avait expliqué n'avoir trouvé aucune preuve de l'usage du SDK de Mintegral à des fins d'espionnage.
"Les pratiques de Mintegral n'ont jamais violé la confiance de leurs clients ni été en conflit avec les conditions de service d’Apple. Mintegral garantit que les données qu’elle utilise ne seront jamais acquises frauduleusement et prend ces allégations très au sérieux", a conclu la firme chinoise.
