ผู้เชี่ยวชาญเตือนพบ iOS SDK อันตรายลอบขโมยการคลิกโฆษณา

Snyk บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาแฉว่าพบ iOS SDK อันตรายแถมยังได้รับความนิยมสูง (ดูจากยอดดาวน์โหลดไปแล้วใน 1,200 แอป) ซึ่งมีพฤติกรรมละเมิดสิทธิส่วนบุคคล ทั้งลอบเก็บข้อมูลที่ไม่เกี่ยวข้องและขโมยการคลิกโฆษณาที่ไม่ใช่ของตน

iOS SDK ตัวนี้ถูกปล่อยมาจากแพลตฟอร์มโฆษณาซึ่งมีฐานหลักในจีนที่ชื่อ Mintegral โดยนักพัฒนาแอปพลิเคชันเพียงแค่นำโค้ดไปฝังไว้ในแอปเพื่อใช้งานเท่านั้น 

ประเด็นคือ Synk ศึกษาพบว่า SDK ดังกล่าวได้มีพฤติกรรมลอบขโมยการคลิกโฆษณาจาก Ad Network อื่นๆ แถมยังมีความสามารถดักจับข้อมูลของผู้ใช้ เช่น URL, Request Header, Device Identifier for Advertisers และ Application Code ซึ่งถือว่าเกินความจำเป็น ด้วยเหตุนี้เองจึงเตือนให้นักพัฒนาที่รู้ว่าตนเข้าข่ายเพราะใช้งาน SDK ปรับไปใช้เวอร์ชันก่อนที่จะพบพฤติกรรมอันตราย นั่นคือก่อนเวอร์ชัน 5.5.1 ที่ออกมาเมื่อ 17 กรกฎาคมปีก่อน

แม้ว่า Apple จะได้รับการแจ้งจาก Synk แล้วแต่ยืนยันว่ายังไม่พบหลักฐานชี้ชัดขนาดนั้น สำหรับในฝั่งผู้ใช้เองที่อยู่ปลายทาง ต้องว่าเป็นเรื่องยากมากที่จะทราบว่าตนได้รับผลกระทบหรือไม่ เพราะต้นตอมาจากการที่นักพัฒนาแอปนำโค้ดอันตรายเหล่านั้นเข้ามาใช้

ที่มา :  https://www.zdnet.com/article/report-claims-a-popular-ios-sdk-is-stealing-click-revenue-from-other-ad-networks/