Snyk表示,中國行動廣告平臺Mintegral允許開發者直接自該站下載SDK,並將它嵌入程式中。然而,當應用程式開啟連結時,Mintegral SDK就會注入程式碼,以檢查這些連結是否源自於競爭對手的廣告網路。倘若屬於廣告連結或下載,Mintegral SDK即利用所獲得的資訊,偽造點選通知,假裝程式是透過Mintegral廣告網路點選的,獲取不法的廣告營收。Image credit(left):Snyk

專注於軟體開發安全性的Snyk在本周揭露一個惡意的廣告SDK,該SDK來自中國的行動廣告平臺Mintegral,會挾持其它廣告網路的流量,且已被部署在蘋果App Store上的逾1,200個程式中,而這些程式每月的下載數量總計超過3億次。

行動廣告網路主要負責展示廣告主所提供的廣告內容,一旦使用者點選該廣告或安裝程式,廣告網路就能取得廣告費用,而於程式中植入該廣告網路的開發者也能獲得佣金。一般而言,開發者通常會利用廣告協調機制,於程式中嵌入多個廣告網路的SDK,該機制也負責策畫程式中所出現的廣告。

而Mintegral則允許開發者直接自該站下載SDK,並將它嵌入程式中。然而,當應用程式開啟連結時,Mintegral SDK就會注入程式碼,以檢查這些連結是否源自於競爭對手的廣告網路。倘若屬於廣告連結或下載,Mintegral SDK即利用所獲得的資訊,偽造點選通知,假裝程式是透過Mintegral廣告網路點選的,獲取不法的廣告營收。

Mintegral SDK一來可攔截競爭廣告網路的收入,二來負責協調廣告網路的SDK,也會誤判Mintegral廣告網路的效能,而予以更優惠的待遇。此外,研究人員亦警告,Mintegral SDK所取得的資訊超過了偽造廣告歸因所需的資訊,它蒐集了作業系統版本、IP位址、充電狀態、網路型態、手機型號、程式請求的網址、請求的標題、請求的來源,以及裝置的廣告識別標記等,並將它們傳送到遠端伺服器上。

其實這類惡意的廣告SDK在Android平臺上很常見,而Mintegral SDK之所以能夠繞過相對嚴格的App Store審核機制,是因為它具備了「反除錯」(anti-debug)保護機制,一旦偵測到程式正在被掃描,它就會變更其行為模式,遮掩其惡意行為。

根據Forbes的報導,蘋果已在上周收到Snyk的通知並展開調查,同時蘋果也建議開發者於程式中嵌入SDK時應謹慎以對。


熱門新聞

Advertisement