一份新的报告称，已经发现一种流行的中文移动广告SDK包含能够监视iOS用户并窃取广告收入的恶意代码。

根据安全公司Snyk的说法，Mintegral SDK已在1,200个不同的iOS应用程序中使用，每月有超过3亿次集体下载，因此总安装量达到数十亿。

Android和iOS开发人员均可使用免费的SDK将第三方广告嵌入其应用程序。但是，据说用于iOS的Mintegral SDK可以隐藏恶意代码，从而可以监控用户活动并从竞争对手那里窃取广告收入。

• 这是我们最好的iPhone VPN服务列表

• 看看我们的名单最好的网络营销服务各地

• 我们已经建立了最好的iPhone防病毒应用程序列表

每当用户点击不在Mintegral网络上投放的广告时，SDK都会将自己插入到推介过程中，从而使iOS误以为用户完全点击了另一则广告。

Mintegral iOS SDK

除了与广告归因欺诈有关的指控外，Snyk报告还声称Mintegral iOS SDK的构建目的是秘密收集有关用户的信息。

据报道，在将信息发送到远程日志记录服务器之前，SDK会记录通过受感染的应用程序发出的所有基于URL的请求的详细信息。收集的数据类型如下：

• 所请求的URL，可能包含标识符和其他敏感信息

• 发出的请求的标头，其中可能包括身份验证令牌

• 请求在应用程序代码中的何处发起，这可以帮助识别用户模式

• 设备的广告商标识符（IDFA）和唯一的硬件标识符

Synk的应用程序安全倡导者Alyssa Miller解释说：“试图通过反篡改控件和自定义专有编码技术来隐藏捕获的数据的性质，让人想起了分析TikTok应用程序的研究人员报告的类似功能。” 。

“在[Mintegral iOS SDK]的情况下，所收集数据的范围大于合法点击归因的必要范围。”

根据Snyk的说法，SDK的第一个恶意版本于2019年7月17日启动，发现所有后续版本都包含相同的功能。

该安全公司拒绝发布受影响的应用程序列表，但声称“许多受欢迎的应用程序都受到此SDK的恶意活动的影响”。

但是，Mintegral此后发表了一份声明，其中公司否认有任何不当行为以及对与Apple进行持续合作的姿态。

“最近，Snyk的一份报告指责Mintegral实施欺诈和侵犯隐私的不法行为。Mintegral否认这些指控，”读声明。

“ Mintegral表示非常重视隐私和欺诈问题，并正在对这些指控及其来历进行彻底的分析。”

该组织还指出，苹果公司已经与研究人员就他们的报告进行了交谈，并在8月24日的一封电子邮件中解释说，苹果尚未发现Mintegral SDK用来监视用户的任何证据。

Mintegral的做法从未与Apple的服务条款发生冲突或侵犯了客户的信任。Mintegral确保数据永远不会被用于任何欺诈性安装索赔，并非常认真地对待这些指控。”