使用一款流行的 iOS 軟件開發套件開發的多款應用程序中,發現了能夠竊取廣告內點擊收入的惡意代碼。根據網絡安全公司 Snyk 發布的報告,在廣告平臺 Mintegral 的 SDK 中發現了這些惡意代碼。而該 SDK 已經被超過 1200 個應用使用,這些應用每月的下載量合計達 3 億次。
與其他廣告相關的 SDK 一樣,Mintegral 套無需花費太多精力或進行額外的編碼情況下,允許開發者在其應用中嵌入廣告。Mintegral在 iOS 和 Android 上都向開發者免費提供了該 SDK。
根據 Snyk 介紹,iOS 版本的軟件套件包含惡意功能,會靜靜地等待用戶點擊任何不屬于Mintegral 網絡的廣告。當點擊注冊后,SDK會劫持推薦過程,并使其看起來用戶實際上是在點擊 Mintegral 廣告。
該惡意代碼被稱之為“SourMint”,正在從其他廣告網絡中竊取應用收入,許多應用程序使用多個廣告SDK來實現其貨幣化策略的多樣化。
蘋果在給ZDNet的郵件中表示,已經與Snyk安全研究人員進行了交流,沒有看到任何證據表明SDK對用戶造成了傷害。蘋果指出,第三方SDK能夠加入惡意功能,這也是它在 2020 年晚些時候發布的iOS14 中首次推出一系列注重隱私和安全的機制的原因。
