Investigador descifra protocolo de AppLovin y revela cómo se reidentifica iPhone sin permiso

Un investigador de seguridad ha logrado descifrar el protocolo de cifrado de AppLovin, revelando que la plataforma de mediación de anuncios filtra datos suficientes para reidentificar dispositivos iPhone de forma determinista, incluso cuando el usuario rechaza el seguimiento publicitario (ATT). El ataque aprovecha una clave SDK compartida y una sal universal contenida en todas las SDK de AppLovin, permitiendo reconstruir la clave de cifrado y descifrar el tráfico. El análisis de más de 5.300 sobres cifrados demostró que cada solicitud contiene aproximadamente 50 campos con información del dispositivo (modelo, RAM, resolución de pantalla, zona horaria, volumen, hora de arranque, IDFV, etc.), además de tokens opacos para hasta 18 redes publicitarias. Los datos se transmiten en cada carga de banner, aproximadamente cada 30 segundos,reachando una docena de empresas de tecnología publicitaria. El investigador señala que la suposición de que ATT es la única forma de identificar usuarios es incorrecta, ya que el fingerprinting de dispositivo funciona igual de bien.