更新1年以上にわたり、中国のモバイル広告企業Mintegralの広く使用されているコードライブラリが、アプリユーザーのオンラインインタラクションに関するデータを密かに収集し、広告収入を盗んでいた疑いがある。
セキュリティ企業Snykによると、Mintegral SDKは、アプリ開発者がモバイルアプリ内の広告から収益を得るためのツールであるとされています。月間3億ダウンロードを誇る約1,200本のiOSアプリで使用されているこのライブラリのiOS版には、ユーザーのアクティビティを監視し、いわゆるアトリビューション詐欺を助長する悪意のあるコードが含まれていると言われています。
モバイル広告収入を最大化するために、開発者はアプリコードにサードパーティのSDKを組み込み、複数の広告ネットワークでアプリが連携できるようにすることがよくあります。広告メディエーションプラットフォームは、クリックごとに最適な広告プロバイダーを選択し、インタラクションのクレジットをどのネットワークに付与するかを追跡することで、アプリ開発者の収益を最大化しようとします。
アトリビューション詐欺は、本来は別の当事者に帰属するはずの広告関連のイベント(この場合は、広告対象アプリのインストールにつながるクリック)の功績を誰かが自分のものにしようとするときに発生します。
Chromeウェブストア、広告を挿入するスパム的な拡張機能295個が8000万回ダウンロードされ再び批判を浴びる
続きを読む
「Mintegral SDKは、アプリケーション内のすべての広告クリック(およびその他のURLクリックも)を傍受できます」と、Snykのアプリケーションセキュリティ推進担当、アリッサ・ミラー氏は月曜日のブログ投稿で述べた。
「この情報を利用して、アトリビューションプロバイダーへのクリック通知を偽造します。偽造された通知により、実際には競合する広告ネットワークが広告を配信していたにもかかわらず、広告クリックが自社のネットワーク経由で発生したように見せかけることができます。」
ミラー氏は、これは他のネットワークに流れるはずだった広告収入を奪うだけでなく、Mintegralのパフォーマンスが競合の広告プラットフォームよりも優れているように見せかけ、開発者にとってより魅力的なものにしていると語る。
さらに、ミラー氏によれば、SDK は機密データも取得するとのこと。これには、個人を特定できる情報が含まれる可能性があるリクエストされた URL、電子メール アドレスなどの個人データが組み込まれた認証トークンが含まれる可能性があるリクエストのヘッダー、デバイスの IDFA および IMEI 識別子などが含まれます。
中国を拠点とするアプリ「TikTok」と「WeChat」は最近、個人情報の非公開収集という、それほど明白ではない疑わしい行為で問題になった。
ミラー氏によると、Mintegral SDKには、誰かがコードを解析しようとしている可能性のある悪意のある動作を阻止するように設計されたアンチフォレンジック機能が搭載されている。この機能は、スマートフォンがルート化されているかどうか、プロキシやデバッグツールの使用を検知できるかどうかをチェックする。
Synk が以下のビデオで示しているように、アプリを調査した人は、アプリが監視されていないことを納得させるために、サーバーのエンドポイント応答にフラグを設定する必要がありました。
YouTubeビデオ
Mintegral SDKは、メソッドスウィズリングと呼ばれる手法を利用していると主張しています。これは、iOSのイベントハンドラーにコードを挿入してクリックイベントを捕捉する、ランタイム機能を変更する手法です。同社はこのデータを自社サーバーに記録し、実際にクリックイベントを発生させた広告ネットワークに加え、アトリビューションプラットフォームにもクリック通知を登録します。
広告コンバージョンのクレジットがユーザーのアクションに最も近いプロバイダーに付与される、いわゆるラストタッチアトリビューションモデルのおかげで、実際に責任を負った広告ネットワークではなく、Mintegral が支払いを受けることになります。
悪意のある機能は、iOS SDK のバージョン (5.5.1) が 2019 年 7 月 17 日に公開されて以来存在していると思われます。Snyk によると、Android SDK では不正な動作は見られません。
Apple、Mintegral、Snykはコメント要請に直ちには応じなかった。®
追加更新
北京に拠点を置く同社は声明でSnykの主張を否定し、「AppleはSnykの研究者と彼らの報告について話し合ったが、Mintegral SDKがユーザーに害を及ぼしている証拠は見ていないと述べた」と述べた。
