banner5

banner29

IOS yazılım geliştirme kiti hakkında 'gözetleme ve reklam dolandırıcılığı' iddiası

Toplamda 1 milyardan fazla kullanıcıya sahip 1200’den fazla uygulama tarafından kullanılan, popüler bir IOS yazılım geliştirme kitinin (SDK) mobil reklamlara tıklama dolandırıcılığı yapma ve hassas bilgileri toplama amacıyla kötü amaçlı yazılım barındırdığı söyleniyor.

Bilim, Teknoloji 30.08.2020, 21:06 30.08.2020, 21:15
IOS yazılım geliştirme kiti hakkında 'gözetleme ve reklam dolandırıcılığı' iddiası

Bir siber güvenlik firması olan Snyk’in yayınladığı rapora göre, Mintegral  -Çinli mobil reklam teknolojisi şirketi Mobvista’ya ait bir mobil reklamcılık platformu- gizliliği ihlal edilmiş uygulamaları kullanarak URL’leri, cihaz belirleyici bilgileri, IP adresini, işletim sistemi sürümünü ve diğer hassas bilgileri uzak bir logging sunucusunda toplamasına yarayan bir SDK bileşenini içeriyor.

Kötü amaçlı IOS SDK, Snyk araştırmacıları tarafından “SourMint” olarak adlandırıldı.

Snyk’dan Alyssa Miller bir pazartesi analizinde “Zararlı yazılım, uygulama yoluyla yapılan URL-bazlı istekleri kayıt ederek kullanıcı aktivitesini gözetleyebilir” dedi. “Muhtemel olarak kişisel bilgi (PII) ya da başka hassas bilgiler içeren bu aktivite üçüncü parti bir sunucuya kayıt edilir”

Miller “Ayrıca, SDK sık sık kullanıcıların reklamlara tıklamasını raporlayarak rekabet halindeki reklam ağlarından ve -bazı durumlarda- uygulamanın geliştiricisinden/yayıncısından potansiyel kazanç çalar.” diye ekledi.

SDK’yı kullanan uygulamaların isimlerinin açıklanmamasına rağmen, kod Mintegral SDK’nin IOS sürümünde bulunmuştu (ver. 6.3.5.0). SDK’nın Android versiyonu ise etkilenmiş gözükmüyor.

Kullanıcı Reklam Tıklamalarını Çalmak

SDK uygulamanın asıl davranışını gizlemek adına birçok anti-debug koruması içerdiğini belirten Snyk, Mintegral SDK’nin sadece uygulamalardaki reklam tıklamalarına engel olmadığını ayrıca hileli bir şekilde bu bilgiyi kullanarak rakip reklam ağlarının gösterdiği bir reklamı da kendi tıklaması olarak atfettiğini gösteren kanıtlar buldu.

Uygulama içi reklamlara sahip uygulamaların, reklam aracılarının yardımıyla birden çok reklam ağından SDK’lar içerdiğini belirtmek gerekir.

Analizin buluntularına göre: “Bir attribution1 sağlayıcısı yüklemeyi doğrulanmış tıklama bildirimleriyle eşleştirmeye çalıştığında iki eşleşme buluyor. last-touch attribution modelini kullanan Mintegral tıklama bildirimine attribution verilirken diğer reklam ağına bağlı tıklama bildirimi reddediliyor ”

“Diğer bir değişle, platform reklamları göstermek için kullanılmadığı halde geliştiricilerin gelirlerini çalmasının üstüne Mintegral başka ağların reklamlarının kendine ait olduğunu iddia ederek diğer reklamcılık ağlarının kazançlarını çalıyor. “

Millar “Araştırmamızda Mintegral SDK uygulamaya entegre edildikten sonra, reklam sunmak için aktive edilmediği Mintegral’in tıklamaları engellediğini keşfettik.” dedi. “Bu durumda, rakip reklam ağı yoluyla geliştiriciye/yayıncıya gelmesi gereken reklam parası asla geliştiriciye ödenmiyor”

Reklam Tıklaması İlişkilendirmesi İçin Gerekenden Daha Fazla Veri Toplama

Daha da endişe verici bir şekilde SDK, etkilenen uygulamaların tüm iletişimini gizlice izlemeye yönelik fonksiyonlara sahip.

OS sürümü, IP adresi, şarj durumu, Mintegral SDK versiyonu, ağ tipi, model, paket adı, reklam belirteçleri(IDFA ya da Reklamcılar için Belirteçler) ve daha fazlası kayıt edilen bilgiler arasında.

“Miller, Mintegral’in hem kurcalama önleme kontrolleri hem de özel bir tescilli kodlama tekniği yoluyla yakalanan verilerin doğasını gizleme girişimleri, TikTok uygulamasını analiz eden araştırmacılar tarafından bildirilen benzer işlevselliği anımsatıyor, “dedi.

Miller “Mintegral tarafından hem anti-kurcalama kontrolleriyle hem de özel bir kodlama tekniğiyle toplanan verilerin gizlenme çabaları TikTok uygulamasını analiz eden araştırmacıların rapor ettiğine benzer bir işlevi andırır.” diye ekledi.

Kullanıcıların Mintegral SDK’yı yerleştiren bir uygulama kullanıp kullanmadıklarını bilmelerinin bir yolu olmasa da, üçüncü taraf geliştiricilerin uygulamalarını gözden geçirmesi ve veri sızıntısını durdurmak için SDK’yı kaldırması zorunludur.

Apple ise, yaklaşan iOS 14 güncellemesinde, üçüncü taraf uygulamaların, hedeflenen reklamlar sunmak için açık onaylarını isteyerek kullanıcıları izlemesini zorlaştıran yeni gizlilik özellikleri sunuyor.

Güncelleme: Mintegral SDK Suçlamalarını Reddeden Açıklama Yayınlıyor

Mintegral’in temsilcisi The Hacker News’a verdiği açıklamada:

“Müşterilerimize ve ortaklarımıza bu suçlamaların doğru olmadığını temin ederiz. Bu durumu çok ciddiye alıyoruz ve bu suçlamalar ve suçlamaların nelere dayanarak yapıldığı hakkında detaylı analizler gerçekleştiriyoruz.”

“SDK’mız halka açık OS seviyesindeki Apple API’yı kullanarak verileri toplar. Biz bu bilgiyi reklam ağımız bir reklam isteğini karşılamak üzere kullanıldığında en alakalı reklamı göstermek için kullanırız. Bu bir kullanıcı için en uygun reklamı seçmek adına kullanılan bir endüstri standardı tekniktir. ”

” Apple, 24 Ağustos tarihli bir e-postada, Snyk araştırmacılarıyla raporları hakkında konuştuğunu ve Mintegral SDK’nın kullanıcılara zarar verdiğine dair herhangi bir kanıt görmediklerini söyledi. Yaptıklarımız asla Apple’ın hizmet şartlarıyla çelişmez veya müşteri güvenini ihlal etmez. Bu verileri asla sahte yükleme iddiaları için kullanmayız ve bu iddiaları çok ciddiye almaktayız.”

“Bununla birlikte, Apple’ın yaklaşan iOS14 güncellemeleriyle bağlantılı olarak, zaten bu işlevselliği SDK’da kullanımdan kaldırmayı planlamıştık. Apple da dahil olmak üzere tüm paydaşlarla sürekli iletişim halindeyiz ve iOS 14 piyasaya sürüldüğünde bu işlevi kaldırmanın müşteriler ve kullanıcılar için en iyi yol olduğunu hissettik.” dedi.

Attribution1: Mobile attribution ya da attribution, bazı değişkenlere bağlı olarakreklam harcamalarını kullanıcı etkileşimi veya yüklemeleri ile bağlanması gibi iki vergi göstergesini eşleştirmenin bilimidir. Attribution kullanıcı bir mobil reklama tıkladığında neler olduğunun açıklamasını yapar.

TheHackerNews

Yorumlar (0)
7
sisli
Günün Anketi Tümü
ABD seçimlerinde sizce hile var mı?
ABD seçimlerinde sizce hile var mı?
Namaz Vakti 04 Aralık 2020
İmsak 06:34
Güneş 08:06
Öğle 12:59
İkindi 15:22
Akşam 17:43
Yatsı 19:09
Günün Karikatürü Tümü
Puan Durumu
Takımlar O P
1. Alanyaspor 9 23
2. Galatasaray 10 20
3. Fenerbahçe 10 20
4. Beşiktaş 9 16
5. Kasımpaşa 10 15
6. Gaziantep FK 10 15
7. Karagümrük 10 14
8. Göztepe 9 14
9. Başakşehir 10 14
10. Konyaspor 9 12
11. Rizespor 9 12
12. Malatyaspor 9 12
13. Hatayspor 7 12
14. Trabzonspor 10 12
15. Antalyaspor 10 10
16. Sivasspor 9 9
17. Erzurumspor 9 9
18. Kayserispor 9 8
19. Denizlispor 9 6
20. Gençlerbirliği 9 5
21. Ankaragücü 8 2
Takımlar O P
1. Altınordu 11 23
2. Ankara Keçiörengücü 11 21
3. Samsunspor 11 20
4. Adana Demirspor 10 18
5. İstanbulspor 10 18
6. Tuzlaspor 10 18
7. Altay 10 17
8. Giresunspor 11 17
9. Bursaspor 11 14
10. Balıkesirspor 11 14
11. Akhisar Bld.Spor 11 13
12. Adanaspor 9 12
13. Menemen Belediyespor 10 12
14. Bandırmaspor 11 11
15. Ümraniye 11 10
16. Ankaraspor 11 8
17. Boluspor 10 7
18. Eskişehirspor 11 1
Takımlar O P
1. Tottenham 10 21
2. Liverpool 10 21
3. Chelsea 10 19
4. Leicester City 10 18
5. West Ham 10 17
6. Southampton 10 17
7. Wolverhampton 10 17
8. Everton 10 16
9. M. United 9 16
10. Aston Villa 9 15
11. Man City 9 15
12. Leeds United 10 14
13. Newcastle 10 14
14. Arsenal 10 13
15. Crystal Palace 10 13
16. Brighton 10 10
17. Fulham 10 7
18. West Bromwich 10 6
19. Burnley 9 5
20. Sheffield United 10 1
Takımlar O P
1. Real Sociedad 11 24
2. Atletico Madrid 9 23
3. Villarreal 11 20
4. Real Madrid 10 17
5. Sevilla 9 16
6. Cádiz 11 15
7. Barcelona 9 14
8. Granada 10 14
9. Athletic Bilbao 10 13
10. Elche 9 13
11. Getafe 10 13
12. Eibar 11 13
13. Deportivo Alaves 11 13
14. Valencia 11 12
15. Real Betis 11 12
16. Osasuna 10 11
17. Real Valladolid 11 10
18. Celta de Vigo 11 10
19. Levante 10 8
20. Huesca 11 7