1200 apps de iOS con potencial comportamiento malicioso por su SDK

Expertos de la firma de seguridad Snyk han descubierto un comportamiento malicioso en un kit de anuncios (un SDK o Software Development Kit) que afectaría a 1200 apps de la App Store de Apple.

Se trata del SDK Sourmint (de Mintegral), kit utilizado comúnmente para monetizar aplicaciones gratuitas de la tienda de APple. Está en uso por 1200 apps y unos 300 millones de descargas en total, cada mes.

Existe una versión del SDK de Mintegral, pero por el momento no ha dado signos de comportmaiento malicioso alguno.

Al analizar el código de Sourmint, se ha visto que permitiría a MIntegral robar beneficios de otras redes de anunciantes que utilizan este SDK. Esto permitiría teóricamente, además, recopilar información de sistema y el historial de URL visitadas si estas se producen mediante apps que integran el código.

1200 apps de iOS afectadas por un SDK dudoso

Según lo explican en su boletín:

El código malicioso fue descubierto en versiones del SDK para iOS, para el proveedor chino de anuncios MIntegral, ya en Julio de 2019. El código malicioso puede puede espiar actividades del usuario, como navegación realizada a través de la app. Esta actividad se guarda en un servidor de terceros y podría incluir PII (Personally Identifiable Information) o información sensible.

Los desarrolladores pueden registrarse como anunciantes y descargar el SDK desde la web de Mintegral, una vez cargado, inyectará código en las funciones estándar de la aplicación que ejecuta una visita a una URL, incluyendo aquellos de la app store, desde la app.

Esto le da al SDK acceso a una buena cantidad de datos, potencialmente privados. Este software incluso analiza los registros para determinar si el origen de una actividad ha sido una entidad de anunciantes rival.

Se ha cuestionado si ete comportamiento potencialmente malicioso es deliberado, dado que el SDK en cuestión parece más encaminado al uso de un proxy/debugger más que a actividades perniciosas. El caso es que los desarrolladores pueden usarlo para hacer un bypass del proceso de revisión de Apple.

Para descubrir esta información, el equipo de Snyk añadió el SDK a una app de testeo. Para evitar la detección anti-tampering, las comunicaciones de la app fueron interceptadas en el punto de acceso cercano, usando un proxy MiTM.

Luego usaron el desensamblador Hopper para revisar el código y mapear sus funciones. Esto les dio la opción de ver actividades maliciosas en versiones partiendo de la 5.5.1 hasta la actual 6.4.0. Un caso de clicjacking o hijacking (secuestro) de clics del usuario.