SDK chino espió a más de 1.200 aplicaciones de usuarios de iOS

Una red de publicidad china llamada Mintegral está acusada de espiar la actividad de los usuarios y cometer fraude publicitario en más de 1.200 aplicaciones con 300 millones de instalaciones en iOS por mes desde julio de 2019. Mintegral tiene su sede en Beijing, China, y es propiedad de otra red de publicidad china, Mobvista, que tiene una oficina central en Guangzhou, China. Entre las apps afectadas aparecen algunas muy populares como Talking Tom, Subway Surfers y Helix Jump. Este último es un juego de habilidad que, sólo por su cuenta, acumula más de 500 millones de instalaciones.

Más de 1.200 aplicaciones para iPhone y iPad esconden un software que espía la actividad de los usuarios y realiza fraudes publicitarios. La empresa Snyk, responsable del hallazgo, señala que este hecho genera una "gran preocupación en términos de privacidad para cientos de millones de usuarios".

The Snyk research team uncovered malicious behavior in an advertising SDK #SourMint used by over 1,200 apps in the AppStore. Included in our findings, it improperly accesses and logs user data and activity within those apps. Learn more here 👉 https://t.co/ihgdjgTZNY pic.twitter.com/qMsI4UB7cc— Snyk (@snyksec) August 24, 2020

"Identificamos un componente malicioso del SDK (kit de desarrollo de software) que se está integrando en diferentes aplicaciones de iOS", señalaron desde Snyk, y alertaron que "el SDK se distribuye como una red publicitaria normal, algo que los desarrolladores pueden usar para monetizar sus aplicaciones a través de anuncios".

Sin embargo, aquel no es un simple SDK sino que es capaz de realizar fraudes de diversa especie, por ejemplo simular clics y espiar la actividad de los usuarios dentro de las apps sin que éstos adviertan dicha actividad. "Consigue acceso a una cantidad significativa de datos, e incluso a información potencialmente privada", advirtieron.

Fraude publicitario en el foco

De acuerdo a uno de los responsables de la investigación, el software de Mintegral envía clics falsos y reclama créditos por la instalación de la app, considerando que las marcas pagan a las redes publicitarias por las instalaciones exitosas de herramientas móviles. En este orden, el principal objetivo es robar dinero a los competidores en el negocio de los anuncios, aunque para eso vulnera información privada de los usuarios.

Los expertos dicen que en base al alcance de las aplicaciones involucradas y al período de tiempo en el que se realizó esta estafa, la suma total de dinero recaudado por la firma china podría calcularse en cientos de millones de dólares.

Como señalamos, la mayoría de las aplicaciones involucradas son juegos y en ese sentido no habría un gran compromiso en lo que refiere a datos de los usuarios. Sin embargo, en el listado también aparecen herramientas como Topface y Meet24, ambas apps de citas, que sí involucran información personal.

Por otra parte, desde Snyk comentaron que la actividad fraudulenta ocultaba astutamente su accionar ya que se desactivaba si se estaba ejecutando un simulador, si el teléfono tenía instalado un root o si estaba conectado a una VPN.

Dicha empresa notificó a Apple hace una semana, según informa Forbes. La compañía estadounidense confirmó la recepción del aviso y señaló que por el momento no hay evidencia de que los usuarios hayan sido perjudicados.

El fabricante de iPhone aprovechó la oportunidad para recordar a los desarrolladores revisar los SDK que se incluyen en las aplicaciones y para destacar los cambios que incluye iOS 14, su más flamante sistema operativo móvil, que, por caso, mostrará al usuario más detalles sobre los datos que recopilan las apps.

Fuente: Forbes

Suscríbete a nuestro Boletín