Les chercheurs en sécurité de Snyk ont trouvé du code malveillant dans le kit de développement de la plateforme publicitaire chinoise Mintegral. Une fois intégré dans une appli mobile, ce SDK transmet une copie de toutes les requêtes HTTP envoyées par l’application en question, comme le prouve une vidéo de démonstration.
Selon Snyk, cette collecte ne se justifie pas du point de vue de la gestion publicitaire et représente une atteinte à la protection des données personnelles. En effet, ces requêtes peuvent contenir des informations personnelles ou des tokens d’authentification. « Mintegral pourrait monétiser ces données en les vendant à des tiers à des fins d’analyse », subodorent les chercheurs de Snyk. Dans une vidéo YouTube, ils montrent cette fuite de données de manière concrète.
Cette collecte est d’autant plus louche que le SDK procède également à des opérations franchement illégales. En effet, il intercepte les clics publicitaires au sein des applications pour les attribuer à la plate-forme de Mintegral. En d’autres termes, ce logiciel vole les revenus publicitaires des plateformes concurrentes.
Ce SDK malveillant est intégré dans plus de 1200 applications iOS référencées par l’App Store. Ensemble, elles totalisent plus de 300 millions de téléchargements par mois. Malheureusement, les chercheurs n’ont pas donné les noms des applications concernées. Il est donc difficile de savoir si l’utilisateur final est affecté par cette collecte.
Source : Snyk
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.