Skip to main content

Trovato del codice malevolo in alcune app iOS installate da miliardi di utenti

(Image credit: Apple)

Un rapporto accusa Mintegral, l'azienda produttrice di un popolare kit di sviluppo (SDK) per iOS di spiare gli utenti e trarre profitto illecito da altre reti pubblicitarie. Secondo la società di sicurezza Snyk, l’SDK Mintegral viene utilizzato da ben 1.200 diverse app iOS, per oltre 300 milioni di download al mese e miliardi di installazioni complessive totali. L'SDK gratuito viene utilizzato dagli sviluppatori Android e iOS per incorporare annunci di terze parti nelle loro applicazioni. Tuttavia, si dice che Mintegral SDK per iOS nasconda del codice dannoso che consente di monitorare l'attività degli utenti e sottrarre entrate pubblicitarie ai suoi concorrenti.

Ogni volta che un utente fa clic su un annuncio esterno alla rete di Mintegral, l'SDK si inserisce nel processo di referral, convincendo in maniera fraudolenta iOS che l'utente abbia fatto clic su un annuncio completamente diverso.

Mintegral SDK per iOS

Oltre alle accuse relative alla frode per l’attribuzione indebita di pubblicità, la relazione di Snyk afferma anche che Mintegral SDK per iOS è realizzato per raccogliere di nascosto informazioni degli utenti. Secondo quanto riferito, l'SDK registra i dettagli di tutte le richieste effettuate tramite le applicazioni compromesse che contengono URL, per poi inviare le informazioni a un server di registrazione remoto. Queste le tipologie di dati raccolti secondo gli accusatori:

  • L'URL richiesto, che potrebbe potenzialmente includere identificatori e altre informazioni sensibili. 
  • Intestazioni della richiesta che è stata effettuata, che potrebbero includere i token di autenticazione.
  • Posizione del codice dell'applicazione dove è stata originata la richiesta. Potrebbe aiutare a identificare i comportamenti dell’utente.
  • L’identificatore del dispositivo per gli inserzionisti (IDFA) e identificatore hardware univoco

"I tentativi di nascondere la natura dei dati acquisiti, sia attraverso controlli anti-manomissione che tramite una tecnica di codifica proprietaria personalizzata, ricordano funzionalità analoghe scoperte dai ricercatori che hanno analizzato l’app di TikTok", ha spiegato Alyssa Miller, Application Security Advocate di Synk. "Nel caso di Mintegral SDK iOS, l’insieme dei dati raccolti è maggiore di quanto sarebbe necessario per l'attribuzione dei clic legittimi." Secondo Snyk, la prima versione dannosa dell'SDK è stata lanciata il 17 luglio 2019 ed è stato riscontrato poi che tutte le versioni successive contenevano le stesse funzionalità. L'azienda di sicurezza ha rifiutato di pubblicare un elenco delle app interessate, ma afferma che "molte applicazioni anche popolari sono state influenzate dalle attività dannose di questo SDK". 

Tuttavia, Mintegral da allora ha rilasciato una dichiarazione in cui l'azienda nega qualsiasi illecito e conferma la propria continua collaborazione con Apple. “Di recente, un rapporto di Snyk ha accusato Mintegral di pratiche scorrette per commettere frodi e invadere la privacy. Mintegral rinnega queste accuse", si legge nella dichiarazione. "Mintegral ha dichiarato di prendere molto sul serio le questioni relative alla privacy e alle frodi e sta conducendo un'analisi approfondita relativa a queste accuse e alla loro provenienza". L'organizzazione rileva inoltre che Apple si è interfacciata con i ricercatori per parlare di tale relazione e in un'e-mail datata 24 agosto, ha spiegato di non aver raccolto alcuna prova che l'SDK Mintegral venga utilizzato per spiare gli utenti. "Le pratiche di Mintegral non sono mai state in conflitto con i termini di Apple o violazioni della fiducia dell’utente. Mintegral si è assicurata che i dati non vengano mai utilizzati per richieste di installazione fraudolenta e prende molto sul serio queste accuse ", ha aggiunto l'azienda cinese in risposta.