CVE-2020-7705

MintegralAdSDK versões 0.0.0 e posteriores

O problema diz respeito a uma funcionalidade maliciosa no MintegralAdSDK que rastreia e reporta qualquer URL aberta pelo aplicativo, facilitando fraudes de atribuição de publicidade. O SDK pode ativar remotamente ganchos em vários métodos, incluindo UIApplication, openURL, SKStoreProductViewController, loadProductWithParameters e NSURLProtocol, além de empregar proteção contra depuração e detecção de proxy. Se esses ganchos estiverem ativos, o MintegralAdSDK envia dados ofuscados sobre cada URL aberta para seus servidores, mesmo que o SDK não esteja habilitado para veicular anúncios.

Para a versão 0.0.0 do MintegralAdSDK, considere desativar o SDK até que um patch esteja disponível para impedir que a funcionalidade maliciosa rastreie e relate aberturas de URLs.

Como solução alternativa temporária, restrinja o acesso aos métodos UIApplication, openURL, SKStoreProductViewController, loadProductWithParameters e NSURLProtocol para minimizar o risco de exploração.

Evite usar o MintegralAdSDK para veiculação de anúncios até que o problema seja resolvido, a fim de evitar fraudes de atribuição de anúncios.