iOS SDK bị cáo buộc theo dõi hàng tỷ người dùng và có hành vi gian lận quảng cáo

Mới đây, một bộ công cụ phát triển phần mềm iOS phổ biến (SDK) với hơn một tỷ người dùng di động và được sử dụng trên hơn 1.200 ứng dụng, đã bị cáo buộc có chứa một mã độc nguy hiểm có thể gây gian lận quảng cáo trên thiết bị di động và thu thập thông tin nhạy cảm của người dùng.



Theo một báo cáo của công ty an ninh mạng Snyk , Mintegral là một nền tảng quảng cáo trên di động thuộc sở hữu của một công ty công nghệ Trung Quốc có tên là  Mobvista. Nó bị phát hiện có chứa một SDK cho phép thu thập URL, ID của thiết bị, địa chỉ IP, phiên bản hệ điều hành và nhiều dữ liệu nhạy cảm khác của người dùng từ các ứng dụng bị nhiễm độc và sau đó chuyển những thông tin này tới một máy chủ ghi chép từ xa (logging server).



Phiên bản iOS của SDK độc hại này được các nhà nghiên cứu Snyk đặt tên là “SourMint”.



“Mã độc có thể theo dõi hoạt động của người dùng bằng cách ghi lại các request dựa trên URL được thực hiện thông qua ứng dụng. Hoạt động này được ghi vào máy chủ của bên thứ ba và có nguy cơ chứa các thông tin nhận dạng cá nhân (PII) cùng nhiều thông tin nhạy cảm khác,” Alyssa Miller, chuyên gia bảo mật của Snyk cho biết.



“Hơn nữa, SDK báo cáo gian lận các lần click ad (nhấn vào quảng cáo) của người dùng nhằm đánh cắp doanh thu từ các mạng quảng cáo khác và gây thiệt hại cho những nhà phát triển/nhà xuất bản của ứng dụng,” Miller cho biết thêm.



Mặc dù tên của các ứng dụng iOS bị ảnh hưởng chưa được tiết lộ, nhưng các nhà nghiên cứu phát hiện phiên bản đầu tiên của SDK (5.5.1) có chứa mã độc hại được phát hành từ ngày 17 tháng 7 năm 2019, và kéo dài cho đến tận phiên bản mới đây nhất là 6.3.5.0. Đặc biệt, phiên bản Android của Mintegral SDK dường như không bị ảnh hưởng bởi mã độc này.



Gian lận số lần click ad của người dùng



Các nhà nghiên cứu của Snyk cho rằng SDK có chứa một số lớp bảo vệ giúp chúng không bị phát hiện bởi các công cụ debug, và có thể che giấu những hành vi độc hại của ứng dụng. Snyk cũng tìm ra bằng chứng cho thấy Mintegral SDK không chỉ chặn tất cả các lần click ad trong một ứng dụng, nó mà còn sử dụng thông tin này để báo cáo gian lận số lần click đó cho mạng quảng cáo của nó, mặc dù chính mạng quảng cáo của đối thủ mới là ứng dụng đã phân phát quảng cáo.





Cần lưu ý rằng các ứng dụng có tính năng tích hợp quảng cáo thì sẽ bao gồm SDK từ nhiều mạng quảng cáo khác nhau với sự hỗ trợ của các công cụ điều phối quảng cáo (ad mediator).



Do đó, “khi một công cụ phân bổ quảng cáo muốn gán (match) những lần cài đặt ứng dụng của người dùng do click ad, nó sẽ tìm thấy 2 mạng quảng cáo. Lợi dụng điều đó, Mintegral đã sử dụng một mô hình phân bổ lần click cuối cùng (last-touch attribution model) để lừa công cụ này gán lần cài đặt đó cho mạng quảng cáo của nó và khiến thông báo click ad của đối thủ bị từ chối, nhằm chiếm đoạt doanh thu của họ,” báo cáo của Snyk phân tích.



Nói cách khác, Mintegral đã đánh cắp doanh thu quảng cáo từ các mạng quảng cáo khác bằng cách gian lận các lần click ad của họ, và nói rằng đó là của chính nó. Không những vậy, SDK này còn cướp đi doanh thu của các nhà phát triển đã tin tưởng sử dụng nó, trong khi thực tế thì nền tảng này không hề được sử dụng để chạy quảng cáo cho họ.



“Chúng tôi đã phát hiện ra rằng một khi Mintegral SDK được tích hợp trên một ứng dụng, nó sẽ ngay lập tức chặn các click ad, kể cả khi nó không được kích hoạt để phân phát quảng cáo. Và vì thế, các nhà phát triển hoặc nhà xuất bản phần mềm của các mạng quảng cáo đối thủ sẽ không bao giờ nhận được khoản doanh thu quảng cáo mà lẽ ra là của họ,” Miller cho biết.



Hành vi thu thập dữ liệu đáng ngờ



Đáng quan ngại hơn, SDK còn bị phát hiện có chứa các tính năng cho phép theo dõi tất cả các giao tiếp truyền thông tin của các ứng dụng bị ảnh hưởng. Đặc biệt, số lượng dữ liệu mà chúng thu thập nhiều hơn mức cần thiết nếu chỉ nhằm mục đích gian lận phân bổ click ad.



Được biết những dữ liệu mà ứng dụng này thu thập bao gồm phiên bản hệ điều hành, địa chỉ IP, trạng thái sạc, phiên bản Mintegral SDK, loại mạng, kiểu máy, tên gói tin, định danh quảng cáo (IDFA hay số nhận dạng dành cho nhà quảng cáo), cùng nhiều thông tin khác.



“Cách Mintegral che giấu hành vi đánh cắp dữ liệu, thông qua các biện pháp kiểm soát chống xáo trộn (anti-tampering) và một kỹ thuật mã hóa độc quyền tùy chỉnh, làm gợi nhớ đến cách thức tương tự trên ứng dụng TikTok mà các nhà nghiên cứu đã phát hiện trước đó,” Miller cho biết.



Hiện tại không có cách nào để người dùng biết được liệu họ có đang sử dụng ứng dụng nhúng Mintegral SDK hay không, nên đó sẽ là trách nhiệm của các nhà phát triển bên thứ ba trong việc kiểm tra lại ứng dụng của họ và xóa SDK độc hại để tránh nguy cơ rò rỉ dữ liệu của người dùng.



Về phần mình, Apple đang chuẩn bị cho ra mắt các tính năng bảo mật mới trong bản cập nhật iOS 14 sắp tới. Phiên bản mới này sẽ khiến các ứng dụng của bên thứ ba khó khăn hơn trong việc theo dõi người dùng do nó phải có được sự đồng ý của họ trước khi cho phát các quảng cáo trên ứng dụng.



Mintegral tuyên bố từ chối cáo buộc 



Trong một thông báo cung cấp cho The Hacker News, người phát ngôn của Mintegral cho biết:



“Chúng tôi muốn đảm bảo với khách hàng và đối tác của mình rằng những cáo buộc trên là không đúng sự thật. Chúng tôi rất coi trọng vấn đề này và đang tiến hành một cuộc phân tích để xem xét kỹ lưỡng những cáo buộc và điều tra xem chúng bắt nguồn từ đâu.”



“Để làm rõ một số phản hồi của người dùng về cách SDK hoạt động, SDK của chúng tôi thu thập thông tin thông qua một OS API công khai của Apple. Chúng tôi sử dụng dữ liệu này để lựa chọn những quảng cáo phù hợp nhất với người dùng khi mạng quảng cáo của chúng tôi cần thực hiện một ad request. Đây là một kỹ thuật tiêu chuẩn trong ngành nhằm xác định quảng cáo thích hợp nhất cho người dùng. “



“Hơn nữa, trong một email vào ngày 24 tháng 8, Apple cho biết họ đã nói chuyện với các nhà nghiên cứu của Snyk về cáo buộc vi phạm này và họ đã không tìm thấy bất kỳ bằng chứng nào cho thấy Mintegral SDK đang gây hại cho người dùng. Các hoạt động của chúng tôi sẽ không bao giờ xung đột với các điều khoản dịch vụ của Apple hoặc vi phạm lòng tin của khách hàng. Chúng tôi cũng sẽ không bao giờ sử dụng dữ liệu của người dùng cho bất kỳ hành vi gian lận cài đặt nào và sẽ giải quyết đến cùng những cáo buộc này.”



“Với tất cả những gì đã thông báo, cùng với việc các bản cập nhật iOS 14 của Apple chuẩn bị được phát hành, chúng tôi đã lên kế hoạch cho ngừng chức năng này trong SDK. Chúng tôi đã và đang liên lạc thường xuyên với tất cả các bên liên quan, bao gồm cả Apple, và chúng tôi cho rằng việc loại bỏ chức năng này là phương án tốt nhất cho cả đối tác và người dùng ứng dụng khi iOS 14 được tung ra.”



Theo The Hacker News
The post iOS SDK bị cáo buộc theo dõi hàng tỷ người dùng và có hành vi gian lận quảng cáo appeared first on SecurityDaily .