SDK, iklan mobile asal China ditemukan memiliki kode berbahaya yang bisa digunakan untuk memata-matai pengguna iOS. Kode berbahaya ini juga bisa mencuri pendapatan iklan dari pesaingnya.

Berdasarkan laporan dari perusahaan keamanan Snyk, SDK Mintegral digunakan di lebih dari 1.200 aplikasi iOS. Ribuan aplikasi ini tiap bulannya diunduh lebih dari 300 juta kali, dan karenanya telah diinstal miliaran kali.

Dikutip detikINET dari Tech Radar, Rabu (26/8/2020) SDK ini disediakan Mintegral secara gratis kepada pengembang aplikasi Android dan iOS. Pengembang menggunakan SDK ini untuk memasukkan iklan di aplikasinya dengan hanya menggunakan beberapa baris kode untuk memangkas waktu dan biaya pengembangan.

SDK Mintegral untuk iOS ketahuan menyembunyikan kode berbahaya yang bisa memonitor aktivitas pengguna dan mencuri pendapatan dari iklan yang diklik. Setiap kali pengguna mengklik iklan yang tidak datang dari jaringan Mintegral, SDK itu menyusupi proses referral dan mengelabui iOS agar mengira pengguna mengklik iklan yang lain.

Selain tuduhan terkait penipuan iklan, laporan dari Snyk juga mengklaim bahwa SDK Mintegral untuk iOS dikembangkan untuk mengumpulkan data dan informasi milik pengguna.

SDK ini disebut mengumpulkan rincian seputar permintaan berbasis URL yang dibuat lewat aplikasi yang telah disusupi. Informasi tersebut kemudian dikirim ke remote logging server. Jenis-jenis data yang dikumpulkan antara lain:

- URL yang diminta, yang kemungkinan berisi pengenal dan informasi sensitif lainnya.

- Headers dari permintaan yang dibuat, yang kemungkinan berisi token otentikasi.

- Dari kode aplikasi mana permintaan tersebut berasal, yang bisa membantu mengidentifikasi pola pengguna.

- Identifier for Advertiser (IDFA) yang ada di perangkat dan pengenal perangkat keras unik.

Berdasarkan laporan Snyk, versi pertama SDK yang berbahaya ini diluncurkan pada 17 Juli 2019, dan versi-versi setelahnya ditemukan masih memiliki fungsi yang sama. Snyk enggan mengungkap daftar aplikasi yang terdampak kode jahat ini, tapi mereka mengklaim banyak aplikasi populer telah menjadi korban aktivitas jahat SDK ini.

Tapi, Mintegral merilis keterangan resmi yang membantah telah berbuat salah dan memberi isyarat telah bekerjasama dengan Apple untuk menyelesaikan masalah ini.

Mereka juga menekankan bahwa Apple telah berbicara dengan peneliti tentang laporan mereka dan, dalam email bertanggal 24 Agustus, menjelaskan mereka tidak menemukan bukti apapun bahwa SDK Mintegral digunakan untuk memata-matai pengguna lewat aplikasi.

"Praktek Mintegral tidak pernah berseberangan dengan ketentuan Apple atau melanggar kepercayaan pelanggan. Mintegral telah memastikan data tidak akan digunakan untuk klaim instal palsu dan menanggapi tuduhan ini dengan sangat serius," tulis Mintegral dalam keterangannya.