1200 个 iOS 应用程序使用 Mintegral SDK 恶意代码

安全公司Snyk的专家在广告SDK中发现了恶意代码，该SDK在Apple App Store提供的1200多个iOS应用程序中使用。

安全公司Snyk的专家在由中国移动广告平台提供商Mintegral的SDK中发现了恶意代码，该恶意代码被称之为“SourMint”。Mintegral SDK被广告宣传为一种工具，可帮助应用程序开发人员和广告商建立基于广告的获利营销的工具。

该SDK已在Apple App Store中目前可用的1,200多个iOS应用程序中使用，这些应用程序每月总计下载3亿次。

Snyk研究人员在Android版本的SDK中没有观察到相同的恶意代码。

专家分析了从Mintegral官方GitHub帐户获得的代码，发现在追溯至5.5.1（于2019年7月发布）的iOS SDK版本中发现了恶意代码。

据Snyk称，SourMint SDK可以使Mintegral窃取集成了该SDK的应用程序使用的其他广告网络的收入。据称，它还收集系统和设备信息以及通过可利用SDK的应用程序访问的URL。

“ Snyk研究团队在流行的Advertising SDK中发现了恶意代码，该SDK被AppStore的1200多个应用使用，根据行业专家的估计，每月的下载量超过3亿。” 阅读安全公司发布的帖子。

“该恶意代码已从中国移动广告平台提供商Mintegral的iOS版本的SDK中发现，可追溯到2019年7月。该恶意代码可以通过记录、通过应用程序发出的基于URL的请求来监视用户活动。该活动已记录到第三方服务器，并且可能包含个人身份信息（PII）和其他敏感信息。”

专家们发布了一个视频，展示了SDK如何从应用程序收集数据。

“开发人员可以注册为发布者，并从Mintegral网站下载SDK。加载后，SDK会将代码注入应用程序内的标准iOS功能中，当应用程序从应用程序内打开URL(包括应用程序商店链接)时，这些函数会执行。” 在继续发布的帖子中读取。“这使SDK可以访问大量数据，甚至可能包含私人用户信息。该SDK还专门检查了这些开放的URL事件，以确定竞争对手的广告网络SDK是否是该活动的来源。”

研究人员推测该行为是有意实施的，因为SDK在进行恶意活动之前会先使用调试器和代理工具。这意味着开发人员可以使用此技巧绕过Apple对在App Store上发布的应用程序的审核过程。

*总结报告：“为了发现此信息，Snyk安全研究团队将SDK添加到了测试应用程序中。为了避免防篡改检测，使用中间人代理（mitm.it）在无线访问点拦截了应用程序通信。Snyk使用Hopper反汇编程序来研究SDK中的代码并绘制功能。我们能够在5.5.1之前的SDK版本中发现此恶意功能（撰写本文时，当前版本为6.4.0）。” *

“最终，通过我们自己的内部研究以及与业内主要组织和专家的合作，我们能够确认用户广告点击事件的完整端到端劫持。”