מכורים להליקס ג'אמפ? יכול להיות שהמידע שלכם בסכנה. חברת הסייבר הישראלית Snyk פרסמה אתמול (שני) דו"ח חמור במיוחד, לפיו ספרייה סינית המשמשת כ-1,200 אפליקציות פופולריות במיוחד במכשירי iOS היא זדונית – ומגלגלת מאות מיליוני דולרים על גבן של מפרסמות אחרות ועל גבם של המשתמשים.
מדובר בספריית (SDK) הפרסום החינמית של חברת מינטגרל (Mintegral) מבייג'ינג, שהוטמעה בעיקר במשחקים כמו Helix Jump ו-Garden Scapes, אך גם באפליקציות פופולריות נוספות. הגרסה הראשונה שבה נמצא הקוד הזדוני שוחררה ביולי 2019, וכדי לסבר את האוזן, כל האפליקציות שבהן הוטמעה הספרייה זוכות ליותר מ-300 מיליון הורדות מדי חודש. הספרייה קיימת גם באפליקציות אנדרואיד, אך דווקא שם לא זוהתה פעילות חשודה.
אז מה בעצם הספרייה הזדונית עושה? באפליקציות רבות קיימות כיום פרסומות שמטרתן לגרות משתמשים להתקין משחקים או אפליקציות אחרות; הפרסומות האלה מגיעות ממגוון של שירותים, כשהמפתחים מבזרים את מאמצי הפרסום בין השירותים השונים במטרה לצבור התקנות. התמריץ פשוט: בכל פעם שמשתמש נחשף לפרסומת, מקליק עליה ומתקין אפליקציה, המפתחת צריכה לשלם לשירות הפירסום. כאן נכנסת ההונאה של מינטגרל: לפי הדו"ח, היא הצליחה לזהות קליקים על פרסומות מטעם ספריות אחרות, להתעלק על ההפנייה (referral) - ולהסית את הרווח אליה.
זה לא נגמר כאן: לפי סניק, הספריה הזדונית של מינטגרל כוללת גם פונקציות אחרות שמתעדות את פעילות המשתמשים ואוספות מידע, ממש כמו אלה שנמצאו לפני מספר חודשים באפליקציית טיקטוק. בדו"ח נכתב כי המידע, שכולל URL עם מזהים רגישים לצד פרטים על דפוסי השימוש של המשתמשים, מועבר לשרתים מרוחקים. ואם זה לא מספיק, מינטגרל ידעה גם לזהות (לכאורה) מתי המפתחים בוחנים את פעילות הקוד (debugging), ומתי המשתמשים גולשים דרך VPN, ולהפסיק את פעילותה הזדונית.
בתגובה לחשיפה, אפל הודיעה שהיא "לא מצאה הוכחות לכך שהספריה פוגעת במשתמשים". בנוסף, אפל מסרה כי היא זיהתה בעבר סיטואציות שבהן ספריות צד-שלישי עם פונקציונליות ספציפית במיוחד נוצלו לרעה. למעשה, הספריות האלה היו אחד מהטריגרים של אפל להרחיב את מדיניות הפרטיות שלה, ולהוסיף התראות ממוקדות בגרסה הבאה של מערכת ההפעלה, iOS14; במערכת ההפעלה הבאה המשתמשים יקבלו הודעה בכל פעם שאפליקציה תיגש למאגר ההעתקות וההדבקות שלהם (Clipboard).
אבל זה לא הכל: אפל החליטה לטלטל לחלוטין את שוק הפרסום במובייל, שהיקפו 80 מיליארד דולר בשנה. מעכשיו, אפליקציות שמשתמשות בשירותי פרסום חיצוניים ורוצות לעקוב אחרי המאמצים שלהן, יצטרכו לבקש מהמשתמשים אישור כדי לעקוב אחרי המידע שלהם וכדי להתאים להם פרסומות – וזה כולל גם את פייסבוק וגוגל. שירות הפרסום של אפל, לעומת זאת, יוכל לעשות פרסונליזציה למשתמשים (כלומר, לאסוף את המידע שלהם) הישר מהקופסה.