Een securitybedrijf claimt dat een populaire software development kit (SDK) waarmee iOS-apps advertenties kunnen weergeven kwaadaardige code bevat, maar de ontwikkelaar en Apple ontkennen dit. Het gaat om de MintegralAdSDK van het bedrijf Mintegral. De SDK wordt door meer dan twaalfhonderd iOS-apps gebruikt die bij elkaar meer dan driehonderd miljoen downloads hebben, aldus het securitybedrijf Snyk.

Om aan hun applicaties te verdienen voegen ontwikkelaars advertentieplatformen toe, wat via een SDK wordt gedaan. Deze advertentieplatformen betalen de ontwikkelaar bijvoorbeeld voor elke installatie nadat een gebruiker op hun advertentie heeft geklikt. Geregeld maken ontwikkelaars binnen hun apps gebruik van meerdere advertentieplatformen. Om te bepalen welk advertentieplatform voor de installatie verantwoordelijk is, wordt elke klik geregistreerd door een attributieprovider.

Volgens Snyk houdt de SDK van Mintegral zich bezig met advertentiefraude en verzamelt het informatie over gebruikers. Wanneer een app-gebruiker op een advertentie klikt die binnen de app wordt weergegeven, maar die van een ander advertentieplatform afkomstig is, onderschept de Mintegral deze click en laat vervolgens aan het advertentienetwerk en de attributieprovider weten dat de click van hun SDK afkomstig is. Op deze manier zou Mintegral andere SDK-aanbieders, ontwikkelaars en adverteerders duperen.

Daarnaast wordt Mintegral door Snyk beschuldigd van het bespioneren van app-gebruikers omdat het alle door de gebruiker geopende url's binnen de app zou verzamelen. "Eenvoudig gezegd, de SDK bespioneert de links waarop de gebruiker klikt, en netwerkactiviteiten binnen de betreffende apps. De spionage vindt zelfs plaats wanneer de SDK niet door de ontwikkelaar of het advertentiebemiddelingsnetwerk is ingeschakeld."

Mintegral biedt ook een SDK voor Android-apps, maar daarin is geen kwaadaardige code aangetroffen, merkt Snyk op. De kwaadaardige code in de iOS-SDK zou meer dan een jaar onopgemerkt zijn gebleven, zo laat het securitybedrijf verder weten. Sinds de eerste versie in juli 2019 verscheen is de SDK in meer dan twaalfhonderd iOS-apps gebruikt, waaronder zeventig van de vijfhonderd populairste gratis apps op het platform.

In een persbericht ontkent Mintegral de aantijgingen. Het bedrijf zegt dat de SDK informatie via een publiek beschikbare Apple-API verzamelt. De data wordt vervolgens gebruikt om de meest relevante advertentie aan de gebruiker te tonen. Volgens het bedrijf voldoet het aan alle voorwaarden van Apple. Wel zal Mintegral de betreffende functie met de lancering van iOS 14 in de eigen SDK verwijderen. Apple stelt in een verklaring tegenover SecurityWeek dat het met de Snyk-onderzoekers heeft gesproken, maar er geen bewijs is gevonden dat de SDK gebruikers schaadt.