Công ty bảo mật Snyk vừa phát hiện bộ công cụ phát triển phần mềm iOS (SDK) phổ biến của Mintegral, nền tảng quảng cáo có trụ sở tại Trung Quốc, chứa mã độc nhằm gian lận số lượt nhấp chuột vào quảng cáo và thu thập thông tin nhạy cảm từ người dùng.
Theo báo cáo, bộ công cụ này được hơn 1.200 ứng dụng iOS sử dụng với tổng số lượt tải về hơn 300 triệu lần/tháng. Các chuyên gia bảo mật của Snyk đặt tên cho SDK độc hại của Mintegral là “SourMint”.
Nghiên cứu cho thấy trong SourMint chứa một thành phần độc hại có thể thu thập đường dẫn URL, mã số nhận dạng thiết bị, địa chỉ IP, phiên bản hệ điều hành và những thông tin quan trọng khác của người dùng, từ những ứng dụng bị xâm phạm đến máy chủ ghi nhận từ xa.
“Mã độc có thể theo dõi hoạt động của người dùng bằng cách ghi lại các yêu cầu dựa trên đường dẫn URL hệ thống truy cập thông qua ứng dụng. Hoạt động này thường được ghi vào máy chủ bên thứ ba, có thể bao gồm thông tin nhận dạng cá nhân (PII) và những dữ liệu nhạy cảm khác”, Alyssa Miller, chuyên gia bảo mật của Snyk giải thích.
Mintegral cung cấp miễn phí SourMint cho các nhà phát triển ứng dụng Android và iOS. Các lập trình viên sử dụng công cụ này để chèn quảng cáo vào trong ứng dụng chỉ với vài dòng mã, giúp đỡ tốn thời gian và chi phí phát triển. Snyk đã đưa ra một số bằng chứng cho thấy trong SourMint được lập trình một số biện pháp chống gỡ lỗi nhằm bảo vệ và che giấu hành vi gian lận.
Các ứng dụng trên smartphone thường sử dụng nhiều SDK để đa dạng hóa quảng cáo và chiến lược kiếm tiền. Snyk cho biết SDK phiên bản iOS của Mintegral có một số tính năng độc hại chạy trong nền ứng dụng, không chỉ chặn tất cả các lần nhấp vào quảng cáo ứng dụng mà còn dùng nhiều cách để phân bổ lần nhấp đó cho mạng quảng cáo của mình.
Theo đó, chỉ cần người dùng nhấp vào bất kỳ quảng cáo nào không phải thuộc SourMint, công cụ của Mintegral sẽ chiếm đoạt lần nhấp đó, cướp đi doanh thu từ những đối thủ cạnh tranh khác một cách trắng trợn mà không bị phát hiện.
Điều đáng quan tâm hơn là có nhiều chức năng trong SourMint được thiết kế để theo dõi hành vi người dùng từ các ứng dụng bị ảnh hưởng. Trong đó, dữ liệu được thu thập nhiều vượt quá mức cần thiết.
Thông tin được ghi lại gồm Phiên bản hệ điều hành, địa chỉ IP, trạng thái sạc, phiên bản Mintegral SDK, nhà mạng, kiểu máy, tên gói, số nhận dạng quảng cáo (IDFA hoặc Số nhận dạng dành cho nhà quảng cáo)…
Miller lưu ý rằng Mintegral đã dùng nhiều cách để che giấu hành vi thu thập dữ liệu người dùng, từ biện pháp kiểm soát chống giả mạo đên kỹ thuật mã hóa độc quyền tùy chỉnh. Hành động này tương tự như cách TikTok từng sử dụng.
Các chuyên gia phát hiện mã độc bắt đầu tồn tại trong SDK phiên bản iOS từ 17/7/2019. Tuy nhiên phiên bản Android lại không bị ảnh hưởng. Tên của các ứng dụng sử dụng bộ công cụ của Mintegral chưa được tiết lộ. Vì vậy người dùng không cách nào xác định được liệu họ có đang sử dụng các ứng dụng nhúng SDK độc hại này hay không. Các nhà nghiên cứu bảo mật khuyến cáo những nhà phát triển bên thứ ba phải xem xét ứng dụng của họ và nếu có thì nên xóa SDK này ngay lập tức để tránh rò rỉ dữ liệu người dùng.
Về phía Apple, hãng đang giới thiệu các tính năng bảo mật mới trong bản cập nhật iOS 14 sắp tới. Người dùng phải đồng ý thì hệ thống mới được phép phân phối quảng cáo nhắm mục tiêu. Điều này nhằm hạn chế tối đa việc các ứng dụng bên thứ ba theo dõi người dùng.