Snyk, một công ty bảo mật phần mềm cho biết một công ty quảng cáo di động Trung Quốc đã sửa đổi mã trong bộ công cụ phát triển phần mềm có trong hơn 1,200 ứng dụng, thu thập hoạt động của người dùng một cách ác ý và thực hiện gian lận quảng cáo.
Hơn 1,200 ứng dụng — vượt quá 300 triệu lượt tải xuống tập thể hàng tháng — đã tích hợp bộ công cụ phát triển phần mềm (SDK) từ dịch vụ quảng cáo Mintegral của Trung Quốc có mã độc để theo dõi hoạt động của người dùng và đánh cắp doanh thu tiềm năng từ các đối thủ cạnh tranh, công ty bảo mật phần mềm Snyk cho biết trong một phân tích xuất bản vào ngày 24 tháng XNUMX.
Các khả năng độc hại đã được tích hợp vào SDK do công ty quảng cáo Mintegral phân phối vào khoảng tháng 2019 năm XNUMX. Thông thường, một cách để nhà phát triển kiếm tiền từ ứng dụng của họ, SDK như vậy có thể bao gồm chức năng mà nhà phát triển không biết. Trong trường hợp của Mintegral, trong hơn một năm, các khả năng lén lút đã chỉ định lại các nhấp chuột quảng cáo, để công ty thu lợi từ các nhấp chuột vào phí quảng cáo dành cho các mạng quảng cáo khác và chuyển toàn bộ URL của trang được liên kết với ứng dụng , có khả năng làm lộ mã thông báo bảo mật và thông tin nhạy cảm khác.
Danny Grander, đồng sáng lập và giám đốc an ninh tại Snyk cho biết, hoạt động độc hại cần có phân tích chuyên sâu và sự trợ giúp từ các chuyên gia trong ngành quảng cáo để giải mã và các nhà phát triển có thể sẽ không bao giờ phát hiện ra hành vi này.
Ông nói: “Điều này không hiển thị đối với nhà phát triển vì họ không ăn cắp mọi cú nhấp chuột. “Đó là xác suất và các nhà phát triển không dành thời gian phân tích từng dòng mã và bất kỳ mã nhị phân nào được tích hợp vào ứng dụng của họ.”
Công ty đã thông báo cho Apple về kết quả điều tra vào thứ Sáu tuần trước. Mintegral đã không trả lời yêu cầu bình luận vào thời điểm xuất bản. Apple chỉ cung cấp thông tin chung về các hoạt động bảo mật làm nền nhưng không có tuyên bố cụ thể nào về vụ việc.
Phân tích, nếu được Apple xác nhận, có thể dẫn đến việc khung quảng cáo bị cấm khỏi nền tảng vì Apple buộc các nhà phát triển phải chịu trách nhiệm về hành vi ứng dụng của họ. Chẳng hạn, năm 2015, Apple cấm SDK được phân phối bởi công ty quảng cáo Trung Quốc Youmi và xóa hơn 250 ứng dụng khỏi cửa hàng ứng dụng sau khi phát hiện ra rằng SDK đã thu thập địa chỉ e-mail của người dùng và thông tin về các ứng dụng khác trên điện thoại của người dùng.
Grander cho biết: Mặc dù gian lận quảng cáo có thể mang lại nhiều lợi nhuận hơn trong số hai khả năng lén lút có trong SDK, nhưng việc thu thập thông tin nhạy cảm lại đáng lo ngại hơn. “Mã này, nó có thể làm bất cứ điều gì — chỉ thông tin đăng nhập bị rò rỉ cho một ứng dụng cũng có thể cung cấp cho bạn khá nhiều thứ, bởi vì bạn có thể lạm dụng nó sau này mà không cần truy cập vào thiết bị,” anh ấy nói thêm.
Gian lận quảng cáo là một cách phổ biến để tội phạm mạng và những kẻ lừa đảo bòn rút tiền từ hệ sinh thái quảng cáo trực tuyến. Ví dụ, vào năm 2016, công ty quảng cáo liêm chính White Ops đã phát hiện ra rằng tội phạm mạng Nga đã bị đánh cắp từ 3 đến 5 triệu đô la mỗi ngày từ các nhà xuất bản đã trả tiền cho các nhấp chuột gian lận trong một hoạt động rộng lớn được gọi là Methbot.
Sử dụng bộ công cụ phát triển phần mềm mà các nhà phát triển vô tình có thể tích hợp vào ứng dụng của họ, một số kẻ lừa đảo đã xâm nhập vào các cửa hàng ứng dụng lớn do Apple và Google duy trì. Vào tháng XNUMX, hãng bảo mật RiskIQ đã chặn thêm 20% ứng dụng độc hại trên các cửa hàng ứng dụng của bên thứ ba.
Trong trường hợp mới nhất, Mintegral dường như đã sửa đổi SDK của mình vào tháng 2019 năm XNUMX để thêm các khả năng bổ sung, bao gồm cả việc chỉ định lại các lần nhấp quảng cáo từ các nhà quảng cáo khác cho kho quảng cáo của chính họ.
“Các nhà phát triển có thể đăng ký làm nhà xuất bản và tải xuống SDK từ trang Mintegral,” Alyssa Miller, người ủng hộ bảo mật ứng dụng tại Snyk, cho biết trong một bài đăng trên blog mô tả các vấn đề. “Sau khi được tải, SDK đưa mã vào các chức năng tiêu chuẩn của iOS trong ứng dụng. Chức năng này sẽ thực thi khi ứng dụng mở một URL, bao gồm các liên kết cửa hàng ứng dụng, từ bên trong ứng dụng. Điều này cho phép SDK truy cập vào một lượng dữ liệu đáng kể và thậm chí cả thông tin cá nhân tiềm ẩn của người dùng.”
SDK Mintegral bao gồm một số biện pháp chống phân tích, chẳng hạn như làm xáo trộn kép dữ liệu được thu thập từ người dùng, khiến việc đảo ngược kỹ thuật trở nên khó khăn hơn, Snyk nêu trong phân tích của mình. Ví dụ: mã sẽ cố gắng xác định xem điện thoại có đang được mô phỏng trên nền tảng phân tích hay không.
SDK nắm bắt mọi chi tiết của các yêu cầu dựa trên URL được thực hiện trong ngữ cảnh của bất kỳ ứng dụng nào bao gồm phần mềm, Snyk cho biết. Thông tin có khả năng gặp rủi ro bao gồm URL có bất kỳ số nhận dạng hoặc mã thông báo bảo mật, tiêu đề và số nhận dạng thiết bị cho nhà quảng cáo hoặc IDFA. Trong một video đi kèm với bản phân tích đã xuất bản, Snyk hiển thị chi tiết về một tài liệu Google được SDK Mintegral ghi lại.
Snyk xác nhận rằng công ty đã cung cấp cho Apple thông tin chi tiết về cuộc điều tra vào thứ Sáu. “Apple đã xác nhận hôm thứ Sáu rằng họ hiện đang làm việc để khắc phục điều này,” một phát ngôn viên cho biết.
Apple sẽ yêu cầu các nhà phát triển xuất bản bản tóm tắt về các hoạt động bảo mật của họ bắt đầu từ OS 14 vào tháng tới và sẽ bao gồm thông tin khi hiển thị các ứng dụng trong Apple App Store.
Nhà báo công nghệ kỳ cựu hơn 20 năm. Cựu kỹ sư nghiên cứu. Được viết cho hơn hai chục ấn phẩm, bao gồm CNET News.com, Dark Reading, Tạp chí công nghệ của MIT, Khoa học phổ biến và Tin tức có dây. Năm giải thưởng dành cho báo chí, bao gồm Hạn chót xuất sắc nhất Xem Full Bio
Đề nghị đọc:
Thông tin chi tiết
