iBackDoor: advertentienetwerk gaat boekje te buiten

Door: Raymon Mens - 6 reacties

Apple heeft zijn handen vol aan advertentie­netwerken die op slinkse wijze privégegevens van gebruikers verzamelen. Enkele weken geleden werd een Chinees netwerk voor mobiele advertenties al betrapt op dit gedrag en nu is het opnieuw raak.

Onderzoekers van FireEye ontdekten dat het advertentienetwerk adSage kwaadaardige code in zijn SDK plaatste om zo screenshots, locatiegegevens en opnames van de microfoon van iOS-gebruikers te bemachtigen.

FireEye heeft meer dan 2846 iOS-apps met de potentiële achterdeur ontdekt en onderschepte ongeveer 900 pogingen van de malware om contact met het advertentienetwerk te maken. Concrete voorbeelden van misbruik zijn overigens niet aangetroffen. Apple is op 21 oktober al op de hoogte gesteld.

Niet opgemerkt door Apple

De kwaadaardige code werd in een aantal versies van advertentieplatform mobiSage aangetroffen. Om advertenties van het netwerk te tonen, dienen ontwikkelaars deze software development kit (SDK) in hun apps te integreren. De nieuwste versie van de SDK bevat de backdoors overigens niet, maar de oude versie blijkt aanwezig in niet-bijgewerkte apps. Om welke apps het gaat is vooralsnog onduidelijk.

De kwaadaardige werd verpakt in een versleuteld zip-bestand dat pas na het openen van de app uitgepakt werd. Servers van het advertentienetwerk stuurden via javascript opdrachten naar de malware. Apple heeft dit gedrag blijkbaar niet opgemerkt en apps met de SDK toegelaten in de App Store.

Versleutelde javascript-code in zip-formaat.
Versleutelde javascript-code in zip-formaat.

Wat kan Apple doen?

Het probleem met kwaadaardige code in een externe SDK is dat de code strikt gezien niet in de app, maar in een meegeleverd pakket zit. De SDK kan vervolgens wel gebruikmaken van de permissies die de app van de gebruiker krijgt, zoals toegang tot de microfoon of camera.

Blijkbaar is de controle van Apple hier onvoldoende op ingericht of niet zorgvuldig genoeg. Het is de tweede keer in korte tijd dat een advertentienetwerk extreme datahonger blijkt te hebben. Enkele weken geleden werd het Chinese advertentie­netwerk Youmi al op soortgelijk gedrag betrapt.

Reacties

6 reacties
  • Profielfoto
    Domtoren

    Tsja. Gratis apps zijn dus niet echt gratis. Je betaalt niet in € maar in data.

  • Profielfoto
    pruus

    Even wachten, dan blijkt dit straks ook in betaalde apps geïntegreerd te zijn. We zien niets, maar geven alles weg. Raar en vreemd dat het gedrag van een dergelijke app nooit is opgevallen. Niet gemonitord dus. Misser van Apple.

  • Profielfoto
    iMachia

    Daar gáát Tim Cook met zijn opmerking over hoe belangrijk Apple de privacy van zijn klanten wel vindt…..

  • Profielfoto
    Gans

    Haal je SDK en API niet door elkaar? Volgens mij kun je geen SDK in een app inbakken…

  • Profielfoto
    Ruwepit

    Daar gáát Tim Cook met zijn opmerking over hoe belangrijk Apple de privacy van zijn klanten wel vindt…..

    Want? Erg onzinnige reactie.

  • Profielfoto
    iMakker

    “Chinese advertentie­netwerk Youmi ”
    komkom, spionage van Chinse overheid verstopt in een advertentienetwerk