首个恶意iOS SDK威胁数百万用户的隐私

近日安全研究人员在一家中国移动广告平台公司Mintegral发行的iOS MintegralAdSDK（又名SourMint）中发现了恶意代码。

Mintegral SDK劫持用户广告点击的功能流程

根据Snyk的说法，SourMint对数百个iOS应用程序进行了主动广告欺诈，并给数亿消费者带来了重大的隐私问题。

从表面上看，MintegralAdSDK冒充为iOS应用程序开发人员的合法广告SDK，但其恶意代码似乎通过秘密访问数千个使用该SDK的iOS应用程序中的链接点击活动来进行广告归因欺诈。

SourMint还监视了用户链接点击活动，不适当地跟踪了应用程序执行的请求，并将其报告回Mintegral的服务器。斯尼克（Snyk）的研究人员揭露了SourMint，并以负责任的方式向苹果披露了该信息，提醒他们这个活跃中的供应链攻击。

该SDK是通过Mintegral的GitHub存储库（适用于iOS的Cocoapods软件包管理器）分发的；Android平台则通过Gradle/Maven（似乎没有恶意）。对于开发人员来说，在将其集成到其应用程序中很难发现该iOS版本的SDK是恶意的。

该恶意SDK在Apple App Store中已经存在超过一年未被发现。SourMint于2019年7月首次出现在iOS的5.51版本中，并一直持续到6.3.7.0版。自那时以来，它已在1200个iOS应用中被发现，其中包括在App Store上排名前500的免费应用中的约70个，其中一些排名前100。

研究人员发现，SourMint在SDK中具有两个主要的恶意功能：

·损害应用程序用户的隐私。SourMint可以监视和跟踪用户点击链接的时间，并通过挂钩用户设置的iOS应用程序通信功能来监视单个链接的活动。SDK会通过数个函数插入应用，这些函数负责打开资源，以响应用户在安装链接后单击该链接。这使Mintegral可以跟踪用户访问的所有URL，并将数据报告回Mintegral的服务器。迄今为止，这已经影响了数百万消费者。

·广告归因欺诈。SourMint会劫持竞争广告网络或者用户的应用安装通知，这些广告归因通知并非来自Mintegral广告平台，从而欺骗了广告归因平台，把其他平台产生的点击归因于Mintegral，这极大损害了其他广告商和开发商的业务。

“SourMint作为第一个渗透到iOS生态系统中的恶意SDK，技术上非常复杂。它成功逃避检测这么久，并利用各种混淆和反调试技巧，”Danny Grander的CSO，Snyk说道。“开发人员在部署该应用程序时并未意识到该恶意程序包，因此该程序包扩散已超过一年。随着网络风险的不断增加，对于所有软件开发人员来说，缓解该恶意代码进入生产环境并造成大规模的消费者隐私风险至关重要。