Android供應(yīng)鏈頻爆第三方SDK安全事件 金融類APP風(fēng)險(xiǎn)首當(dāng)其沖

具備強(qiáng)大功能的第三方SDK，廣泛的應(yīng)用在大量AndroidAPP的設(shè)計(jì)開(kāi)發(fā)階段，成為整個(gè)Android軟件供應(yīng)鏈中不可或缺的一部分。但這也同時(shí)意味著，一旦處于供應(yīng)鏈上游環(huán)節(jié)的SDK失守，不僅給大量Android應(yīng)用帶來(lái)安全隱患，更會(huì)影響無(wú)數(shù)用戶的網(wǎng)絡(luò)安全。

7月25日，騰訊安全反詐騙實(shí)驗(yàn)室發(fā)布《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》(下簡(jiǎn)稱報(bào)告)。報(bào)告指出，第三方SDK安全事件是Android供應(yīng)鏈中頻發(fā)的安全事件，這類攻擊大多采用了白簽名繞過(guò)查殺體系的機(jī)制，其行為也介于黑白之間，從影響用戶數(shù)來(lái)說(shuō)遠(yuǎn)超一般的漏洞利用類攻擊。尤其對(duì)于接入SDK數(shù)量最多的金融類APP而言，潛伏著巨大隱患，亟需提高警惕。

統(tǒng)計(jì)分析類SDK 集成比例最高 金融類型APP平均使用超20個(gè)SDK

第三方SDK包括廣告、支付、統(tǒng)計(jì)、社交、推送，地圖等類別，是廣告商、支付公司、社交、推送平臺(tái)，地圖服務(wù)商等第三方服務(wù)公司為了便于應(yīng)用開(kāi)發(fā)人員使用其提供的服務(wù)而開(kāi)發(fā)的工具包，封裝了一些復(fù)雜的邏輯實(shí)現(xiàn)以及請(qǐng)求，響應(yīng)解析的API，由于其使用的廣泛性，一旦出現(xiàn)安全問(wèn)題并且被黑客利用，其影響范圍之廣，危害之大不言而喻。

報(bào)告針對(duì)應(yīng)用市場(chǎng)上各類型應(yīng)用TOP 100使用的第三方SDK情況進(jìn)行分析，發(fā)現(xiàn)各類SDK在應(yīng)用中的集成比例從高到低依次為統(tǒng)計(jì)分析類、廣告類、社交類、支付類、位置類、推送類。不難發(fā)現(xiàn)，被廣泛使用的SDK直接和用戶的移動(dòng)支付安全、地理隱私等關(guān)系密切。

(SDK類別被集成比例)

而各種類型的APP在第三方SDK使用數(shù)量方面，金融借貸類平均使用的SDK數(shù)量最多，達(dá)到21.5，緊隨其后是新聞?lì)怉PP，平均數(shù)量為21.2;往后是購(gòu)物類、社交類、銀行類和游戲類，平均數(shù)量都超過(guò)15個(gè);再后面的則是出行類、辦公類和安全工具類，平均使用的SDK數(shù)量相對(duì)較少，分別為11.4、9.7和6.7。

(各類應(yīng)用平均集成SDK的個(gè)數(shù))

從報(bào)告統(tǒng)計(jì)得到的數(shù)據(jù)可以看到，Android應(yīng)用在開(kāi)發(fā)時(shí)都集成使用了數(shù)目眾多的第三方SDK，尤其是金融借貸類、購(gòu)物類、銀行類等涉及用戶身份信息和財(cái)產(chǎn)安全的應(yīng)用，使用的第三方SDK數(shù)量普遍在15個(gè)以上，最多的甚至達(dá)到30多個(gè)。

報(bào)告指出，這些應(yīng)用集成的第三方SDK中，不僅包含大廠商提供的SDK，而且還包含很多開(kāi)源社區(qū)提供的SDK，這些SDK的安全性都沒(méi)有得到很好的驗(yàn)證，一旦發(fā)生安全問(wèn)題，將直接危害用戶的隱私和財(cái)產(chǎn)安全，造成嚴(yán)重的后果。

第三方SDK安全“內(nèi)憂外患” “寄生推”SDK事件揭示惡意開(kāi)發(fā)者已滲入

第三方SDK的安全堪稱“內(nèi)憂外患”。除了生來(lái)就瞄準(zhǔn)獲取用戶隱私信息的惡意SDK之外;SDK自身存在的漏洞如果被不法分子利用，攻擊者就能夠利用SDK本身存在的強(qiáng)大功能發(fā)動(dòng)惡意的攻擊行為，例如在用戶毫無(wú)察覺(jué)的情況下打開(kāi)相機(jī)拍照，通過(guò)發(fā)送短信盜取雙因素認(rèn)證令牌，或?qū)⒃O(shè)備變成僵尸網(wǎng)絡(luò)的一部分。

報(bào)告總結(jié)了近幾年Android平臺(tái)發(fā)生第三方SDK安全事件，發(fā)現(xiàn)其安全問(wèn)題主要發(fā)生在三個(gè)方面：首先，第三方SDK的開(kāi)發(fā)者的安全能力水平參差不齊，且眾多第三方SDK的開(kāi)發(fā)者側(cè)重于功能的實(shí)現(xiàn)，在安全方面的投入不足，導(dǎo)致第三方SDK中可能存在著這樣或那樣的安全漏洞。近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等，由于其被廣泛集成到大量的APP中，漏洞的影響范圍非常大。

其次，部分SDK開(kāi)發(fā)者出于某種目的，在其開(kāi)發(fā)的SDK中預(yù)留了后門用于收集用戶信息和執(zhí)行越權(quán)操作;再次，部分惡意開(kāi)發(fā)者滲入了SDK開(kāi)發(fā)環(huán)節(jié)，以提供第三方服務(wù)的方式吸引其他APP應(yīng)用開(kāi)發(fā)者來(lái)集成他們的SDK。借助這些合法應(yīng)用，惡意的SDK可以有效地躲避大部分應(yīng)用市場(chǎng)和安全廠商的檢測(cè)，影響大量用戶的安全。

今年4月，騰訊安全反詐騙實(shí)驗(yàn)室的TRP-AI反病毒引擎捕獲到一個(gè)惡意推送信息的軟件開(kāi)發(fā)工具包(SDK)——“寄生推”，它通過(guò)預(yù)留的“后門”云控開(kāi)啟惡意功能，私自ROOT用戶設(shè)備并植入惡意模塊，進(jìn)行惡意廣告行為和應(yīng)用推廣，以實(shí)現(xiàn)牟取灰色收益。300多款知名應(yīng)用遭遇“寄生推”的病毒感染，其中不乏用戶超過(guò)千萬(wàn)的巨量級(jí)軟件，潛在影響用戶超2000萬(wàn)。

“寄生推”SDK的爆發(fā)反映出，惡意軟件作者正越來(lái)越多地利用用戶與軟件供應(yīng)商間的固有信任，通過(guò)層出不窮的攻擊手法投遞惡意載體，造成難以估量的損失。對(duì)此，報(bào)告呼吁，在應(yīng)對(duì)應(yīng)用供應(yīng)鏈攻擊的整個(gè)場(chǎng)景中，需要手機(jī)廠商、應(yīng)用開(kāi)發(fā)者、應(yīng)用市場(chǎng)、安全廠商、普通用戶等各主體積極參與、通力合作，才能構(gòu)建Android應(yīng)用供應(yīng)鏈的安全生態(tài)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。