Por mais que a Apple tente vender o ecossistema do iOS/iPadOS como impenetrável e extremamente seguro, a verdade é que nem a muralha da Maçã é totalmente livre de ameaças — e parte desses buracos têm a ver com elementos que desenvolvedores incluem em seus aplicativos.
Hoje, a firma de segurança Synk expôs um caso grave de invasão de privacidade na Mintegral, SDK1Software development kit, ou kit de desenvolvimento de software. de uma rede de anúncios chinesa utilizada por mais de 1.200 aplicativos da App Store — alguns deles deveras populares, e totalizando mais de 300 milhões de downloads mensais.
SDKs, para quem não tem muita familiaridade no assunto, permitem que desenvolvedores incluam elementos de terceiros em seus aplicativos sem precisar trabalhar no código deles manualmente. Muitos desenvolvedores utilizam SDKs de redes de anúncios, mantidas por empresas terceirizadas, para que seus apps exibam propagandas automaticamente e de forma integrada com a rede, repassando parte da receita de visualização para os criadores dos apps.
É exatamente aí que mora o problema: os pesquisadores da Synk descobriram que o SDK da Mintegral (de propriedade da rede de anúncios Mobvista, baseada em Guangzhou, China) traz agentes que injetam códigos maliciosos em funções do iOS. Em outras palavras, a rede de anúncios pode monitorar usuários dentro dos apps integrados a ela, registrando cliques/toques, navegação e potencialmente traçando a identidade da pessoa.
Os códigos maliciosos têm um propósito: detectar quando o usuário toca em um anúncio que não faça parte da rede da Mintegral para “mascarar” a atividade e fazer com que ela pareça ter vindo da rede chinesa — gerando, assim, mais receita para a Mobvista.
Como os aplicativos do iOS rodam em sandbox (ou seja, “isolados” do restante do sistema), isso significa que os códigos maliciosos não podem se infiltrar para espionar todas as atividades feitas no dispositivo — o monitoramento é realizado apenas entre os apps integrados ao SDK em questão.
O problema é que a lista dos apps que utilizam os serviços da Mintegral é enorme: são mais de 1.200 títulos os quais, juntos, reúnem mais de 300 milhões de downloads por mês — alguns dos mais populares incluem Helix Jump, Talking Tom, Subway Surfers, PicsArt e Gardenscapes. Ou seja, a possibilidade de você já ter interagido com esse SDK malicioso é enorme.
Segundo a Apple, entretanto, não há evidências de que seus usuários já tenham sido afetados pela rede maliciosa. Em comunicado à ZDNet, a empresa afirmou que o caso é mais uma demonstração de que desenvolvedores precisam ter cuidado sobre quais SDKs são integrados aos seus aplicativos, e lembrou que o iOS 14 trará mais uma camada de proteção para evitar que esse tipo de comportamento se repita.
Agora, resta esperar para que os criadores dos apps afetados tenham o bom-senso de remover o SDK da Mintegral o quanto antes.
via AppleInsider
Notas de rodapé
- 1Software development kit, ou kit de desenvolvimento de software.
