1200 個 iOS 應用程序使用 Mintegral SDK 惡意代碼

安全公司Snyk的專家在廣告SDK中發現了惡意代碼，該SDK在Apple App Store提供的1200多個iOS應用程序中使用。

安全公司Snyk的專家在由中國移動廣告平臺提供商Mintegral的SDK中發現了惡意代碼，該惡意代碼被稱之為“SourMint”。Mintegral SDK被廣告宣傳為一種工具，可幫助應用程序開發人員和廣告商建立基于廣告的獲利營銷的工具。

該SDK已在Apple App Store中目前可用的1,200多個iOS應用程序中使用，這些應用程序每月總計下載3億次。

Snyk研究人員在Android版本的SDK中沒有觀察到相同的惡意代碼。

專家分析了從Mintegral官方GitHub帳戶獲得的代碼，發現在追溯至5.5.1（于2019年7月發布）的iOS SDK版本中發現了惡意代碼。

據Snyk稱，SourMint SDK可以使Mintegral竊取集成了該SDK的應用程序使用的其他廣告網絡的收入。據稱，它還收集系統和設備信息以及通過可利用SDK的應用程序訪問的URL。

“ Snyk研究團隊在流行的Advertising SDK中發現了惡意代碼，該SDK被AppStore的1200多個應用使用，根據行業專家的估計，每月的下載量超過3億。” 閱讀安全公司發布的帖子。

“該惡意代碼已從中國移動廣告平臺提供商Mintegral的iOS版本的SDK中發現，可追溯到2019年7月。該惡意代碼可以通過記錄、通過應用程序發出的基于URL的請求來監視用戶活動。該活動已記錄到第三方服務器，并且可能包含個人身份信息（PII）和其他敏感信息。”

專家們發布了一個視頻，展示了SDK如何從應用程序收集數據。

“開發人員可以注冊為發布者，并從Mintegral網站下載SDK。加載后，SDK會將代碼注入應用程序內的標準iOS功能中，當應用程序從應用程序內打開URL(包括應用程序商店鏈接)時，這些函數會執行。” 在繼續發布的帖子中讀取。“這使SDK可以訪問大量數據，甚至可能包含私人用戶信息。該SDK還專門檢查了這些開放的URL事件，以確定競爭對手的廣告網絡SDK是否是該活動的來源。”

研究人員推測該行為是有意實施的，因為SDK在進行惡意活動之前會先使用調試器和代理工具。這意味著開發人員可以使用此技巧繞過Apple對在App Store上發布的應用程序的審核過程。

*總結報告：“為了發現此信息，Snyk安全研究團隊將SDK添加到了測試應用程序中。為了避免防篡改檢測，使用中間人代理（mitm.it）在無線訪問點攔截了應用程序通信。Snyk使用Hopper反匯編程序來研究SDK中的代碼并繪制功能。我們能夠在5.5.1之前的SDK版本中發現此惡意功能（撰寫本文時，當前版本為6.4.0）。” *

“最終，通過我們自己的內部研究以及與業內主要組織和專家的合作，我們能夠確認用戶廣告點擊事件的完整端到端劫持。”