In gut 1200 iOS-Apps steckt einer Analyse zufolge "bösartiger Code", der durch das SDK einer Werbefirma eingeschleust wird. Die iOS-Version des SDKs der chinesischen Firma Mintegral beinhalte seit gut einem Jahr Code, mit dem sich Klickbetrug durchführen lasse und die Aktivitäten des App-Nutzers durch Aufzeichnung aller URL-basierten Anfragen protokollieren lasse, schreibt die Sicherheitsfirma Snyk – auch sensitive Daten könnten dabei übermittelt werden.

SDK greift angeblich URL-Anfragen ab

Das SDK sei in der Lage, jede URL-Anfrage innerhalb der App abzufangen und nutze dies dafür aus, um Klicks auf von anderen SDKs ausgelieferte Werbebanner sich selbst zuzuschreiben, heißt es in der Analyse von Snyk – damit klaue man den Konkurrenten den Werbeumsatz. Werbefinanzierte Apps integrieren oft SDKs verschiedener Werbeanbieter.

Das Werbe-SDK speichere zugleich alle URL-Abrufe innerhalb der App und übertrage diese an den eigenen Server mitsamt zusätzlichen Informationen wie der Advertising-ID (IDFA) des Gerätes – eine eindeutige ID, die iOS für Apps bereitstellt. Es sei unklar, was mit diesen möglicherweise sensiblen Daten auf den Servern des Anbieters passiere. Mintegral versuche zugleich, das Verhalten durch verschiedene Techniken zu verschleiern, schreibt Snyk, werde das SDK "beobachtet" – etwa durch einen Debugger oder im iOS-Simulator – schalte es das böswillige Verhalten ab. Das könnte auch dabei helfen, dass Apps mit dem integrierten SDK offenbar durch Apples Prüfprozess in den App Store kommen, so die Sicherheitsfirma.

Keine Liste mit betroffenen Apps

Eine Liste mit den Namen der Apps, die das Mintegral-SDK integriert haben, wurde bislang nicht veröffentlicht. Snyk verweist aber darauf, dass darunter populäre Apps seien mit geschätzten 300 Millionen Downloads pro Monat – sollten die Schätzungen stimmen, müsste extrem nachgefragte Apps darunter sein. Ob davon hauptsächlich iOS-Spiele auf dem chinesischen Markt betroffen sind, oder auch international beliebte Apps, bleibt vorerst offen. Für Endnutzer ist es praktisch unmöglich nachzuvollziehen, welche Dritt-SDKs eine App integriert hat.

Man habe noch keinen Beweis dafür gesehen, dass das Mintegral-SDK Nutzern schade, erklärte Apple gegenüber ZDNet. App-Entwickler seien für die SDKs verantwortlich, die sie in ihre Apps integrieren. Man erweitere deshalb die Schutzfunktionen des Betriebssystems, so der Hersteller, iOS 14 erschwert beispielsweise den heimlichen Zugriff auf Nutzerdaten deutlich.

(lbe)