ผู้เชี่ยวชาญเตือนพบ iOS SDK อันตรายลอบขโมยการคลิกโฆษณา

Snyk บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาแฉว่าพบ iOS SDK อันตรายแถมยังได้รับความนิยมสูง (ดูจากยอดดาวน์โหลดไปแล้วใน 1,200 แอป) ซึ่งมีพฤติกรรมละเมิดสิทธิส่วนบุคคล ทั้งลอบเก็บข้อมูลที่ไม่เกี่ยวข้องและขโมยการคลิกโฆษณาที่ไม่ใช่ของตน

credit : Snyk

iOS SDK ตัวนี้ถูกปล่อยมาจากแพลตฟอร์มโฆษณาซึ่งมีฐานหลักในจีนที่ชื่อ Mintegral โดยนักพัฒนาแอปพลิเคชันเพียงแค่นำโค้ดไปฝังไว้ในแอปเพื่อใช้งานเท่านั้น 

ประเด็นคือ Synk ศึกษาพบว่า SDK ดังกล่าวได้มีพฤติกรรมลอบขโมยการคลิกโฆษณาจาก Ad Network อื่นๆ แถมยังมีความสามารถดักจับข้อมูลของผู้ใช้ เช่น URL, Request Header, Device Identifier for Advertisers และ Application Code ซึ่งถือว่าเกินความจำเป็น ด้วยเหตุนี้เองจึงเตือนให้นักพัฒนาที่รู้ว่าตนเข้าข่ายเพราะใช้งาน SDK ปรับไปใช้เวอร์ชันก่อนที่จะพบพฤติกรรมอันตราย นั่นคือก่อนเวอร์ชัน 5.5.1 ที่ออกมาเมื่อ 17 กรกฎาคมปีก่อน

แม้ว่า Apple จะได้รับการแจ้งจาก Synk แล้วแต่ยืนยันว่ายังไม่พบหลักฐานชี้ชัดขนาดนั้น สำหรับในฝั่งผู้ใช้เองที่อยู่ปลายทาง ต้องว่าเป็นเรื่องยากมากที่จะทราบว่าตนได้รับผลกระทบหรือไม่ เพราะต้นตอมาจากการที่นักพัฒนาแอปนำโค้ดอันตรายเหล่านั้นเข้ามาใช้

ที่มา :  https://www.zdnet.com/article/report-claims-a-popular-ios-sdk-is-stealing-click-revenue-from-other-ad-networks/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node ทั้งหมดในคลัสเตอร์

SonicWall เตือนช่องโหว่ Zero-day ใน SMA 1000 ให้ผู้ใช้อัปเดตด่วน!

พบการโจมตีในโซลูชัน SonicWall SMA 1000 Appliance Management Console (AMC) และ Central Management Console (CMC) ที่เป็นโซลูชันสำหรับรวมศูนย์การบริหารจัดการ โดยช่องโหว่มีความร้ายแรงที่ …