Kit de desenvolvimento chinês é pego embutindo código malicioso em apps de iOS
Por Ramon de Souza | 25 de Agosto de 2020 às 22h00
Às vezes, um código malicioso pode estar escondido onde você menos imagina. O mais recente exemplo disso é o caso do Mintegral SDK, um kit de desenvolvimento para aplicativos móveis que foi pego no flagra usando parâmetros escondidos no intuito de trapacear seus próprios usuários. A biblioteca é desenvolvida pela Mintegral, empresa chinesa que opera uma rede de anúncios.
- Código malicioso no 4shared para Android estava roubando os usuários
- Hackers estão usando o Google Analytics para roubar dados em e-commerces
- TikTok coletou dados de Android proibidos pelo Google, diz jornal
Segundo uma análise da firma de cibersegurança Snyk, o SDK em questão está disponível para Android e iOS, sendo usado por programadores que desejam monetizar suas criações com publicidade automática. O problema estaria especificamente na versão para iOS, que escondia códigos maliciosos para rastrear ações do usuário e roubar os lucros de eventuais redes rivais que possam estar integradas ao software.
Funciona assim: quando o internauta clica em um anúncio de fora de sua rede, o SDK consegue “enganar” o sistema da Apple e inserir a si mesmo no processo de referência, simulando que o clique foi feito em um banner da Mintegral. Ademais, o kit também embute parâmetros para registrar dados como identificadores do smartphone utilizado.
“Essa tentativa de esconder a natureza dos dados sendo capturadas, tanto através de controles anti-tempering e uma técnica proprietária de codificação, lembram funcionalidades similares às reportadas por pesquisadores que analisaram o app do TikTok”, explica Alyssa Miller, analista sênior de aplicações da Synk. “No caso da Mintegral, o escopo dos dados coletados são maiores do que os necessários para atribuições legítimas de clique”, diz.
Embora tenha preferido não revelar a lista de afetados, a Snyck garante que o SDK malicioso foi utilizado em pelo menos 1,2 mil aplicativos publicados na App Store; juntos, todos os softwares somam 300 milhões de downloads únicos por mês e bilhões de instalações.
Em um comunicado publicado em seu site oficial, a Mintegral negou as alegações. “A Mintegral declara que leva as questões de privacidade e fraude muito a sério e está conduzindo uma análise completa dessas alegações e de onde elas vêm”, afirmou a companhia chinesa.
Fonte: TechRadar