安全研究公司Snyk声称，中国广告网络MIntegral通过其SDK在1200多个iOS应用程序的数十亿安装中实施了广告点击欺诈

自2019年7月以来，一家名为MIntegral的中国广告网络被控对用户活动进行间谍活动，并在每月3亿次安装的1200多个应用程序中实施广告欺诈。MIntegral总部设在中国北京，由另一家中国广告网络Mobvista所有，Mobvista的总部设在中国广州。

其中一款名为Helix Jump的应用程序的总安装量超过5亿次。其他受影响的热门应用包括Talking Tom，PicsArt，Subway Surfers和Gardencapes。

没有关于有多少设备或iPhone用户受到影响的确切数字，但Snyk说这是“数亿消费者的主要隐私问题”。

发现该问题的安全公司Snyk的联合创始人兼首席安全官丹尼·格兰德(Danny Grder)表示：“我们发现了一个SDK恶意组件，该组件正在集成到不同的iOS应用程序中，并进入App Store。”“SDK是作为常规广告网络分发的……。开发者可以用来通过广告将他们的应用程序货币化的东西。

一周前，Snyk向苹果通报了恶意SDK(开发人员用来向应用程序添加功能的软件组件，而不必自己编写代码)。

格兰德在TechFirst播客的采访中告诉我，除了标准和完全符合犹太标准的广告网络功能外，MIntegral SDK还执行点击归属欺诈。

为了做到这一点，它还监视集成了它的应用程序中的用户活动。

“开发者可以注册成为发布者，然后从MIntegral站点下载SDK，”Snyk说。“一旦加载，SDK就会将代码注入到应用程序内的标准iOS函数中，当应用程序从应用程序内打开URL(包括App Store链接)时，这些函数会执行。这使SDK可以访问大量数据，甚至可能访问私有用户信息。SDK还专门检查这些开放的URL事件，以确定竞争对手的广告网络SDK是否是该活动的来源。“

有趣的是，即使是坏人的代码中也有错误。SDK的一段代码试图捕获HTTP请求的完整正文(包括“Header”和“Body”)，但失败了：

格兰德说：“泄露身体的功能是存在的，但似乎他们那里有某种漏洞，所以它实际上并没有这么做。”

如果SDK看到它在模拟器中运行，或者如果连接了调试器，或者如果电话是根电话(运行了未经批准的操作系统)，或者如果启用了代理(通过VPN或其他系统路由通信)，则欺诈活动将被关闭。

此外，运行漏洞的代码是模糊的，这可能是苹果在App Store审查过程中没有捕获SDK的原因之一。

苹果公司的一名代表证实，该公司已经与Snyk进行了交谈，并就这一问题提供了一些背景信息。苹果表示，它极其严肃地对待用户隐私，目前没有证据表明用户受到了伤害。然而，此外，苹果引用这一点作为为什么开发人员需要注意他们使用的SDK的一个例子，因为SDK使用的任何代码都在他们的应用程序中，任何潜在的安全或隐私不当行为都可能破坏对他们应用程序的信任。

此外，苹果公司表示，这是该公司为什么在即将推出的iOS14中进行隐私增强的一个例子，这将使苹果广告商标识符(IDFA)只能选择加入。IOS14还将向人们展示应用程序正在收集哪些数据的更多细节。

很有可能，苹果也会在应用程序审批阶段收紧自己的应用程序和SDK检查，尽管苹果代表没有提到这一点。

关于广告欺诈，我与一家移动测量供应商进行了交谈，他们根据Snyk提供的新信息检查了欺诈的证据。(全面披露，我在该行业做一些咨询。)。该供应商发现，在MIntegral被归功的转化率中，有20%到30%的转换率在几分钟内就从竞争对手的广告网络那里获得了事先的点击。

这证明MIntegral SDK可能一直在关注来自竞争对手广告网络的点击，在某些情况下，之后会发送虚假点击。

这也证明了运行虚假点击的人有一定程度的谨慎。他们没有试图通过100%检测到的广告点击量打开它来立即赚大钱，这会让广告欺诈专家更快地发现这一点。取而代之的是，他们将其保持在较低的水平，这基本上是在正常业务运营的基础上增加一点额外利润。

调解平台有点像广告的瑞士军刀。如果你想通过广告来赚钱你的应用程序，你不会只想在你的应用程序中添加一个广告网络的SDK：你想要更多的选择，这样你就能获得最大可能的收入。但您也不希望将数十个广告网络SDK集成到您的应用程序中。这需要大量的工作，而且会使您的应用程序变得更大，并且可能会变得更慢。所以您使用中介网络，它为您集成了多个广告网络SDK。MIntegral参与了几个项目，包括MoPub(Twitter旗下)，扩大了覆盖范围。

正如本文前面提到的，一周前，Snyk向苹果简要介绍了广告欺诈SDK及其对隐私的影响。目前还没有关于苹果在通知开发者、禁止安装MIntegral SDK的应用程序进入App Store或任何其他后果方面具体做了什么的消息。

我已经联系了MIntegral和Mobvista征求意见，如果他们有回应，我会添加他们的观点或评论。

在我的推特或LinkedIn上关注我。我可以在我的个人网站上查看，或者在这里查看我的一些其他工作。