Des chercheurs en sécurité de Snyk ont découvert le comportement malveillant dans un SDK (Software Development Kit) publicitaire populaire utilisé par plus de 1 200
applications dans l’AppStore qui représentent plus de 300 millions de téléchargements par mois, selon les estimations des experts de l’industrie.
Un code malveillant découvert dans un SDK chinois
Le code malveillant a été découvert dans les versions iOS du SDK du fournisseur chinois de plateforme publicitaire mobile, Mintegral, datant de juillet 2019.point 321 |
Le code malveillant peut espionner l’activité de l’utilisateur en enregistrant les requêtes basées sur l’URL faites par l’application.point 144 | Cette activité est enregistrée sur un serveur tiers et pourrait potentiellement inclure des informations d’identification personnelle (IIP) et d’autres informations sensibles.point 313 |
Une fois chargé, le SDK injecte du code dans des fonctions iOS standard au sein de l’application qui s’exécutent lorsque l’application ouvre une URL, y compris les liens de l’app store, depuis l’intérieur de l’application.point 229 |
Cela permet au SDK d’accéder à une quantité importante de données et même à des informations potentiellement privées sur l’utilisateur.point 135 | 1
Le SDK Mintegral permettrait de voler des informations personnelles
Le SDK Mintegral se présente comme un outil destiné à aider les développeurs d’applications et les annonceurs à mettre en place un marketing monétisé basé sur la publicité.
Cependant, des recherches et en collaboration avec des experts du secteur de la publicité mobile, l’équipe de Snyk a découvert que certains codes malveillants du SDK volent les revenus potentiels des autres réseaux publicitaires que l’application peut utiliser et espionnent toute requête basée sur une URL faite à partir de l’application.point 314 |
Le SDK signale frauduleusement les clics des utilisateurs sur les publicités, volant ainsi les revenus potentiels des réseaux publicitaires concurrents et, dans certains cas, du développeur/éditeur de l’application.point 198 | 1
À lire aussi :
Harcèlement de rue : L’application « Garde ton corps » est maintenant disponible sur Paris