Vulnerabilidad en los métodos UIApplication, openURL, SKStoreProductViewController, loadProductWithParameters y NSURLProtocol en el paquete MintegralAdSDK (CVE-2020-7705)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

24/08/2020

Última modificación:

02/09/2020

Descripción

Esto afecta al paquete MintegralAdSDK desde la versión 0.0.0. El SDK distribuido por la empresa contiene una funcionalidad maliciosa que rastrea cualquier URL abierta por la aplicación y la reporta a la empresa, además de llevar a cabo un fraude de atribución publicitaria. Mintegral puede remotamente activar hooks en los métodos UIApplication, openURL, SKStoreProductViewController, loadProductWithParameters y NSURLProtocol junto con la protección de detección de proxy y anti-debug. Si esos hooks están activos, MintegralAdSDK envía datos ofuscados sobre cada URL abierta en una aplicación hacia sus servidores. Tome en cuenta que la funcionalidad maliciosa está habilitada incluso si el SDK no estaba habilitado para publicar anuncios.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno