0xNews - 많이 사용되는 iOS SDK 에서 정보 유출 관련 문제점 발견
0xNews - 많이 사용되는 iOS SDK 에서 정보 유출 관련 문제점 발견
보안회사 snyk 연구팀 발표
https://snyk.io/blog/sourmint-malicious-code-ad-fraud-and-data-leak-in-ios/
중국 모바일 광고 기술 회사인 Mobvista 가 소유한 모바일 프로그래밍 방식 광고 플랫폼인 Mintegral 에 문제 발견
해당 SDK 로 1200개 이상 앱이 제작된 것으로 파악
해당 SDK 에는 URL 정보, 기기 식별자, IP 주소, 운영체제 버전, 그 외 사용자 정보 수집이 SDK 구성 요소에 포함
해당 SDK 로 만들어진 앱을 통해 원격 로그인 서버를 통해 민감 정보를 유출
이번 악성 iOS SDK 는 SourMint 로 명명
연구팀은 악성코드는 앱을 통한 URL 기반 요청을 기록
사용자 활동 감시 가능
이런 활동은 제 3자 서버에 기록
잠재적으로 개인 식별 정보 PII Personally Identifiable Information 와 기타 민감 정보가 포함되어 감시 수행
또한 SDK 는 광고에 대한 사용자 클릭을 사기로 판단
경쟁사의 광고나 경우에 따라 응용 프로그램의 개발자나 사용자로부터 잠재적으로 수익 방해
SourMint 를 사용하여 감염된 앱의 이름은 공개되지 않음
연구팀은 iOS 버전의 Mintegral SDK v.6.3.5.0 에서 코드가 발견
이번 SourMint 의 SDK 첫번째 버전은 2019년 7월 17일로 확인
하지만 안드로이드 버전의 SDK 에는 영향을 받지 않은 것으로 파악
연구팀은 SourMint 를 이용하여 만들어진 애플리케이션을 분석
실제 동작을 숨기려는 여러 안티 디버그 보호 기능이 포함되어 있는 것을 확인
또한 Mintegral SDK 가 앱 내 모든 광고 클릭을 중간에 가로채는 것 외
이런 정보를 사용하여 광고 클릭에 대한 정보를 부정하게 이용하는 증거를 발견
경쟁사 광고가 실행되는 경우 역시 마찬가지로 작동
snyk 연구팀에서 만든 이번 문제점의 설명과 실행에 대한 영상
인앱 광고를 제공하는 앱에는 광고 조정자의 도움을 받아 여러 광고 네트워크의 SDK 가 포함
연구팀은 저작자 표시 제공자 시도가 등록 클릭 알림에 설치 이벤트를 일치 시킬 때
두가지가 일치하는 것을 발견
마지막 터치 어트렉션 모델 last-touch attribution model 사용하면 Mintegral 클릭 알림에 어트렉션이 주어지고
다른 광고 네트워크의 클릭 알림은 거부
연구팀의 이번 SDK 분석에 대한 사이트 링크
https://snyk.io/research/sour-mint-malicious-sdk/
즉, Mintegral 은 플랫폼이 광고를 제공하지 않은 경우에도 개발자의 수익을 뺴앗는 것 외
다른 광고 네트워크의 광고를 자신의 것으로 주장하고 실행
결과적으로 다른 광고 네트워크의 광고 수익을 탈취
연구팀은 분석 결과 Mintegral SDK 가 애플리케이션에 통합되면 Mintegral 이 광고를 제공하지 않아도 클릭을 차단하는 것을 발견
이럴 경우 경쟁 광고 네트워크를 통해 개발자나 게시자에게 돌아와야 하는 광고 수익은 개발자에게 절대 지급되지 않음
이런 광고 수익 탈취 외 더 중요한 문제점은 Mintegral SDK 가 합법적으로 얻는 데이터보다 훨씬 더 많은 데이가 수집되도록 영향을 받는 앱의 모든 커뮤니케이션을 스누핑 Snooping 되도록 설계된 기능이 포함
기록되는 정보에는 OS 버전, IP 주소, 충전 상태, Mintegral SDK 버전, 네트워크 유형, 모델, 패키지 이름, 광고 식별자 IDFA Identifier for Advertisers 등이 포함
연구팀은 조작 방지 제어와 사용자 지정 독점 인코딩 기술을 통해 캡처되는 데이터의 특성을 숨기려는 Mintegral 의 시도는 틱톡 TikTok 앱을 분석한 연구팀이 보고 기능의 유사함으로 판단
사용자는 Mintegral SDK 가 포함된 앱을 사용하고 있는지 여부는 알 수 없음
개발자가 앱을 검토하고 SDK 를 제거하여 데이터 유출을 방지해야 함
애플 Apple 은 새로운 개인 정보 보호 기능을 도입하려고 준비 중
iOS 14 업데이트에서는 타사 앱이 타겟 광고 개제에 대한 명시적인 동의를 요청하여 사용자를 추적하기 힘들게 만듬
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.