AppLovin Mediation Cipher 破綻:デバイスフィンガープリンティングがATTを回避

AppLovinの広告仲介プロトコルを詳細に分析した結果、ユーザーのプライバシーを保護できないカスタム暗号が発覚した。研究者は、同意を得たユーザーから取得した5,000件以上の実際の入札リクエストを復号したところ、暗号化されたペイロードには、ユーザーがApp Tracking Transparency(ATT)許可を拒否した場合でも、異なるパブリッシャーのアプリ間でiPhoneを一意に識別できる十分なデバイスデータが含まれていることがわかった。
暗号の仕組み
各仲介リクエストは、HTTPS POSTでms4.applovin.com/1.0/mediateに送信される。TLSレイヤーの内部では、ペイロードをラップする2番目の暗号が存在する。base64デコード後、ワイヤーフォーマットは3つのコロン区切りフィールド+暗号文となる:
2:8a2387b7dbed018e5e485792eac2b56833ce8a3a:T7NreIR729giTKR-thJPcKeT6JXevACogl57SIFzwKp-1BASwpBT6v:<binary>
フィールド:
- バージョンタグ(
2) - 40文字のプロトコルID —
sha1(salt).hex() - パブリッシャーのAppLovin SDKキーの54文字のサフィックス(
Info.plistまたはAndroidManifest.xmlに平文で保存)
暗号は2つの材料を使用する:すべてのSDKバイナリに埋め込まれた32バイトの定数ソルト(21の意味のあるバイト+11のゼロバイト、複数のアプリやプラットフォームで同一)と、パブリッシャーごとのSDKキー。導出されるキーはSHA-256(salt || sdk_key[:32])である。キーストリームは、非暗号化PRNGであるSplitMix64を使用して生成される。カウンターはSystem.currentTimeMillis()と導出キーの最初の8バイトをXORしたものであり、復号前に壁掛け時計時間が漏洩する。MACや認証は適用されていないため、攻撃者は暗号文を改ざんできる。
送信されるデータ
復号された平文は、gzip圧縮されたJSONで、約30のトップレベルキーを持つ。重要なものは以下の通り:
device_info— AppLovin独自のフィンガープリントペイロードで約50のフィールドsignal_data[]— 各需要パートナーSDKからの不透明なトークン
ATTが拒否された(IDFAがゼロ)リクエストの例:
フィールド 値 説明
revision iPhone14,3 ハードウェアモデル(iPhone 13 Pro Max)
os 18.6.2 OSバージョン
tm 5918212096 総RAM(5.51 GB)
ndx / ndy 1284 × 2778 ネイティブ画面ピクセル
kb en-US,es-ES インストール済みキーボード
font UICTContentSizeCategoryXXXL アクセシビリティテキストサイズ
tz_offset -4 タイムゾーン
volume 40 システム音量
mute_switch 1 物理ミュートスイッチ
bt_ms_2 1770745989000 デバイス起動時間(ミリ秒エポック)
dnt / idfa true / 00000… ATT拒否
idfv 81E958C3-…-51DE7CE11819 ベンダーID(アプリ間で安定)
追加フィールドには、セーフエリアインセット、空きメモリ、キャリアコード、国コード、ロケール、向き、ステータスバーの高さ、モノトニッククロック、バッテリーフラグ、セキュア接続状態が含まれる。これは事実上、サードパーティコードがアクセス可能なすべてのシステムプロパティである。
下流での露出
一般的なパブリッシャーには、約18の需要SDK(Meta、Google、Mintegral、Vungle、ironSource、Unity、InMobi、BidMachine、Fyber、Moloco、TikTok、Pangle、Chartboost、Verve、MobileFuse、Bigo、Yandex、およびAppLovin自身)が含まれる。バナーが読み込まれるたび(約30秒ごと)に、AppLovin SDKは復号されたデバイスペイロードをこれらの下流ネットワークそれぞれに渡し、ATTの同意なしにクロスアプリのユーザートラッキングを可能にする。
影響
ATTだけで決定論的な識別を防げるという前提は誤りである。漏洩したフィールドを介したデバイスフィンガープリンティングは同様に機能する。暗号レイヤーでの認証の欠如は、整合性に関する懸念も引き起こす。
📖 原文を読む: HN AI Agents
👀 See Also

大量NPM和PyPI供应链攻击波及TanStack、Mistral AI及170多个软件包
調整された攻撃により、170以上のnpmパッケージと2つのPyPIパッケージが侵害され、TanStack(42パッケージ)、Mistral AI SDK、UiPath、OpenSearch、Guardrails AIが標的となりました。悪意のあるバージョンは、認証情報を流出させ、クラウドメタデータを調べるドロッパーを実行します。

A2Aセキュア:開発者がオープンクロー・エージェント間の暗号通信を構築した方法
新しいプロトコルにより、OpenClawエージェントは共有APIキーなしでEd25519署名を使用して安全に通信できるようになりました。

Claudeは特定のユースケースにおいて本人確認を実装しています。
Anthropicは、Claude向けに政府発行の写真付き身分証明書とライブ自撮り写真を必要とするPersona Identitiesを通じた本人確認を導入しています。確認プロセスは5分以内で完了し、悪用防止と法的義務遵守のために使用されます。

AIエージェントのセキュリティ:ジェイルブレイクを超えて、ツールの誤用とプロンプトインジェクションへ
ウェブを閲覧し、コマンドを実行し、ワークフローをトリガーするAIエージェントは、プロンプトインジェクションやツールの悪用といったセキュリティリスクに直面しています。信頼できないコンテンツが、シェル実行やHTTPリクエストなどの正当なツールをリダイレクトする可能性があります。