דיווח: רשת מודעות פרסום סינית חשפה פרטים של משתמשי גוגל ואפל
מחקר של חברת snyk חושף כיצד ניתן לאסוף מידע אישי על גולשים דרך מודעות פרסום באתרים
עמי רוחקס דומבה
| 26/08/2020
bigstock
רשת מודעות סינית בשם Mintegral מואשמת בריגול על פעילות משתמשים וביצעה הונאה של מודעות בלמעלה מ- 1,200 אפליקציות עם 300 מיליון התקנות בחודש מאז יולי 2019. Mintegral ממוקמת בבייג'ינג, סין, והיא בבעלות רשת מודעות סינית אחרת, Mobvista בעלת משרד ראשי בגואנגזו, סין. כל על פי מחקר של חברת snyk.io. הריגול בוצע באמצעות SDK של החברה.
לאחת האפליקציות, Helix Jump, יש מעל 500 מיליון התקנות. אפליקציות פופולריות אחרות המושפעות כוללות את Talking Tom, PicsArt, Surfers Subway and Gardenscapes. אין מספר מדויק כמה מכשירים או משתמשי אייפון הושפעו מהSDK. , בSnyk אומרים כי מדובר ב"חשש פרטיות גדול למאות מיליוני צרכנים."
הקוד הזדוני יכול לרגל אחר פעילות משתמשים על ידי רישום של בקשות מבוססות URL המופיעות באמצעות האפליקציה. פעילות זו נרשמת לשרת של צד שלישי ויכולה לכלול מידע המאפשר זיהוי אישי (PII) ומידע רגיש אחר. יתר על כן, הSDK מדווח במרמה על קליקים של משתמשים על מודעות, גונב הכנסות פוטנציאליות מרשתות מודעות מתחרות, ובמקרים מסוימים ממפתח / מפרסם היישום. כך לפי הפרסום.
"מפתחים יכולים להירשם כבעלי אתרים ולהוריד את הSDK מאתר Mintegral. לאחר הטעינה, הSDK מזריק קוד לפונקציות iOS סטנדרטיות בתוך היישום שפותח את הURL, כולל קישורי חנות אפליקציות, מתוך האפליקציה. זה נותן ל- SDK גישה לכמות משמעותית של נתונים ואפילו מידע פרטי. ה- SDK בוחן ספציפית אירועי URL פתוח אלה כדי לקבוע אם רשת המודעות של מתחרה SDK הייתה מקור הפעילות."
מחקר של חברת snyk חושף כיצד ניתן לאסוף מידע אישי על גולשים דרך מודעות פרסום באתרים
bigstock
רשת מודעות סינית בשם Mintegral מואשמת בריגול על פעילות משתמשים וביצעה הונאה של מודעות בלמעלה מ- 1,200 אפליקציות עם 300 מיליון התקנות בחודש מאז יולי 2019. Mintegral ממוקמת בבייג'ינג, סין, והיא בבעלות רשת מודעות סינית אחרת, Mobvista בעלת משרד ראשי בגואנגזו, סין. כל על פי מחקר של חברת snyk.io. הריגול בוצע באמצעות SDK של החברה.
לאחת האפליקציות, Helix Jump, יש מעל 500 מיליון התקנות. אפליקציות פופולריות אחרות המושפעות כוללות את Talking Tom, PicsArt, Surfers Subway and Gardenscapes. אין מספר מדויק כמה מכשירים או משתמשי אייפון הושפעו מהSDK. , בSnyk אומרים כי מדובר ב"חשש פרטיות גדול למאות מיליוני צרכנים."
הקוד הזדוני יכול לרגל אחר פעילות משתמשים על ידי רישום של בקשות מבוססות URL המופיעות באמצעות האפליקציה. פעילות זו נרשמת לשרת של צד שלישי ויכולה לכלול מידע המאפשר זיהוי אישי (PII) ומידע רגיש אחר. יתר על כן, הSDK מדווח במרמה על קליקים של משתמשים על מודעות, גונב הכנסות פוטנציאליות מרשתות מודעות מתחרות, ובמקרים מסוימים ממפתח / מפרסם היישום. כך לפי הפרסום.
"מפתחים יכולים להירשם כבעלי אתרים ולהוריד את הSDK מאתר Mintegral. לאחר הטעינה, הSDK מזריק קוד לפונקציות iOS סטנדרטיות בתוך היישום שפותח את הURL, כולל קישורי חנות אפליקציות, מתוך האפליקציה. זה נותן ל- SDK גישה לכמות משמעותית של נתונים ואפילו מידע פרטי. ה- SDK בוחן ספציפית אירועי URL פתוח אלה כדי לקבוע אם רשת המודעות של מתחרה SDK הייתה מקור הפעילות."
