Un SDK publicitaire qui siphonne les données et les revenus de ses concurrents

Mickaël Bazoge |

Plus de 1 200 applications iOS téléchargées à 300 millions de copies chaque mois sont victimes d'un bout de code malveillant intégré dans le SDK de Mintegral, une plateforme publicitaire chinoise. Les chercheurs en sécurité de Snyk ont mis le doigt sur le problème : Mintegral détourne les revenus provenant des autres régies remplissant les bandeaux publicitaires des applications. Les apps utilisent fréquemment plusieurs SDK publicitaires afin de diversifier les sources de revenus.

Lorsque l'utilisateur touche un bandeau publicitaire ne provenant pas de Mintegral, le code malveillant baptisé SourMint détourne le processus de référencement des « clics » qui s'inscrit indument au bénéfice de la plateforme et pas du concurrent. Ce qui prive les autres régies des revenus légitimes qu'auraient dû générer ces tapes.

Beaucoup plus embêtant, le SDK de Mintegral collecte les détails des requêtes URL réalisées dans les applications qui intègrent la plateforme. Parmi les données envoyées à un serveur se trouvent l'URL à proprement parler — qui pourrait contenir des informations d'identification —, les tokens d'authentification, ou encore l'IDFA (l'identifiant anonymisé unique utilisé par les annonceurs). Ce siphonnage permet aussi de déterminer les habitudes des utilisateurs.

Snik ne fournissant pas la liste des apps contaminées, il est évidemment impossible de savoir quelles sont celles à éviter. Les chercheurs observent toutefois que SourMint a fait son apparition dans le SDK de Mintegral en juillet 2019. ZDnet a interrogé Apple sur le sujet, le constructeur explique n'avoir encore recueilli aucune preuve que le kit de développement soit malveillant pour les utilisateurs, du moins pas pour le moment.

La Pomme rappelle que ce sont les développeurs qui sont responsables de l'intégration des SDK dans leurs apps. Apple ajoute que ce genre de comportement est la raison pour laquelle elle renforce chaque année les digues qui protègent la vie privée des utilisateurs (lire : iOS 14 s'attaque au pistage de l'utilisateur par la pub dans les apps).


avatar geooooooooffrey | 

La Chine fait tout ce qu'elle peut pour être impliquée dans la moindre actualité concernant Apple ces temps-ci dites donc...

avatar Yves SG | 

C’est Trump qui va être content😬 🤬🤪

avatar Tatooland | 

« Mintegral, une plateforme publicitaire chinoise. »
Qu’est-ce qui pouvait mal se passer ?... On se le demande.
Je persiste et je signe: la Chine n’a pas les mêmes valeurs, et la grande majorité des Chinois que je rencontre n’ont pas le recul nécessaire pour faire la part des choses et considérer avec importance des valeurs qui sont importantes pour nous occidentaux et futiles pour eux chinois.
Donc tout ce qui touche de près ou de loin à la Chine doit être pris avec de très grandes et longues pincettes... et en fait de plus en plus tout ce qui touche aux US doit être considéré avec beaucoup de précautions aussi (mais c’est un autre sujet).

avatar huexley | 

Pour moi la Chine est le vilain du moment, avec la grosse loupe des médias dessus. Simplement parce que d'autres scandales ailleurs ne sont pas mis en lumière et / ou découvert.

L'espionnage d'échelle n'est clairement pas une nouveauté, pour les US, l'écoute de Angela Merkell, le noyautage des matériels réseau Cisco, Echelon, Keyhole etc… Tout cela n'a pas disparu et c'est probablement largement modernisé.

Mais il est de bon ton occidental d'avoir un "ennemi" (avant c'était les Russes) ca permet de pense à autre chose.

avatar Tatooland | 

@huexley

Tout à fait.
Mais focalisé l’attention sur un “ennemi” grandement exagéré n’empêche pas le fait que ça puisse rester une grosse menace.
La Chine ET les USA doivent être considérés comme de grosses menaces.

avatar byte_order | 

@Tatooland
> Je persiste et je signe: la Chine n’a pas les mêmes valeurs,

Euh, les USA ne sont pas le pays de l'argent-roi ?!
Si y'a bien une valeur que ces 2 superpuissances partagent ces 20 dernières années, c'est bien l'appétit permanent pour le gain.

Y compris via le relai politique. Trump est clairement le président américain qui l'a/aura(?) le plus fait de manière directe.

avatar Tatooland | 

@byte_order

C’est bien ce que je dis, la Chine et les US doivent être considéré avec beaucoup de précautions... et même de méfiance.

avatar kinon | 

@byte_order

Les chinois (pas seulement "la Chine") n'ont pas les mêmes valeurs comme le dit Tatooland, et c'est très différent des simples intérêts capitalistes des Américains.
Mettre les deux dans le même sac juste sur ce problème d'argent roi est beaucoup trop simpliste.
Les Chinois n'ont aucun respect de la propriété intellectuelle, le vol en ce domaine fait partie de leur "morale".
La Chine a des buts expansionnistes et agressifs militairement de plus en plus clairs qui n'ont rien à voir avec les USA mais davantage avec l'ex URSS, version capitaliste ET communiste.

Faire semblant de croire que c'est blanc bonnet et bonnet blanc est soit naïf soit orienté.

avatar Phiphi | 

@kinon

Oui enfin le respect des américains pour la propriété intellectuelle des non américains n’est pas franchement d’une évidence folle.
Et je ne suis pas vraiment convaincu que les chinois n’aient pas du tout de respect de la propriété intellectuelle ... entre eux !

avatar jt_69.V | 

Heureusement que Apple prélève 30% des bénéfices pour assurer la sécurité des apps de l'appstore. Ils devraient prélever 50% ça serait plus sûr.

avatar flixoo | 

Pourquoi Apple,dans sa logique de tout contrôler, ne ne vérifie pas le code des SDK embarqué dans les applications? C’est le même sujet quand elle dit ne pas accepter les plateforme de streaming (Xbox pass and Co) car soit disant elle souhaite s’assurer du contenu.

avatar bidibout | 

@flixoo

Me suis fais la même remarque et naïvement je pensais que c'était le cas.

avatar byte_order | 

Parce que cela lui couterait nettement plus cher pour un retour sur investissement pas assez notable, alors que ce qu'elle souhaite s'assurer c'est la profitabilité de sa rente de contrôleur d'accès aux terminaux iOS, très très principalement.

avatar pocketjpaul | 

@flixoo

Parce que que Apple ne fait rien d’autre que de tester les applications avec des humains qui cliquent sur des boutons.

Les développeurs livrent à Apple des binaires. Il est impossible* de savoir ce qu’intègre un binaire, ce qu’il embarque, ou d’analyser son comportement. Le code source est la propriété du développeur et Apple n’a pas à y avoir accès.

D’ailleurs Apple s’est faite plusieurs fois avoir à ce jeu avec des fonctionnalités cachées que ne pouvaient voir les validateurs.

Contrairement à ce que @fousfous veut bien penser, la seule chose qui peut empêcher une application d’être malfaisante, ce n’est pas de la faire vérifier par les règles de l’app store mais de la faire tourner dans une sandbox (ce qu’iOS fait par ailleurs).

* il est possible le de décompiler des binaires et de faire des recherches dessus, ce que font les spécialistes de la sécu informatique par exemple. Mais il s’agit de recherche et non de processus industrialisables à l’échelle d’un store.

avatar DamienLT | 

@pocketjpaul

Merci pour ces précisons c’est très intéressant 😊.

avatar kinon | 

oups erreur de fil

CONNEXION UTILISATEUR