手機APP有不安全的後門?第三方SDK需要一枚金鐘罩

SLLAQZX發表於2018-10-17

    近年來,移動裝置在購物、出行以及消費等領域的應用極為廣泛,其擴充套件速度和數量都極為驚人。也正因此,移動應用軟體也滲透了人們生活的方方面面,使用者可透過軟體完成搜尋、社交、支付等操作。

    大量移動應用軟體在設計開發階段都採用了第三方SDK,其在加速產品成型的過程中,也引入了各式各樣的安全問題。這也就意味著,一旦處於移動應用供應鏈上游環節的SDK失守,無數使用者的網路安全便會遭到致命打擊。對此,全球首個為移動應用提供全生命週期安全服務的產品三六零天御,重磅推出SDK加固,注入“360安全大腦”基因,為使用者打造一把安全傘。

    手機APP不安全?很有可能是SDK有問題!

    第三方SDK為廣告、資料、社交網站、地圖等第三方服務提供商所開發的工具包,不僅可提供專業服務,其中還封裝了複雜的邏輯實現以及請求響應的過程,更利於開發人員使用。隨著第三方SDK的推廣和使用,其已成為Android 生態系統的重要組成部分。

    雖然,在應用開發過程中整合第三方SDK佔據極大優勢,但是第三方SDK也會對Android 使用者的隱私和安全性產生威脅。再加上第三方SDK的開發者安全能力水平參差不齊,且眾多第三方SDK開發者重功能而輕安全,致使第三方SDK極有可能存在安全漏洞。

    近兩年,關於第三方SDK存在安全漏洞的新聞層出不窮,如FFmpeg、友盟SDK、Zipper Down等漏洞的爆發,由於其被廣泛整合在大量的APP中,漏洞影響範圍極大。以2017年12月爆出的友盟SDK漏洞為例,國內訊息推送廠商友盟SDK被披露存在可越權呼叫未匯出元件的漏洞,利用該漏洞便可實現對使用了友盟SDK的應用進行多種惡意攻擊。據悉,友盟SDK漏洞共影響了七千多款多種型別的應用。

    除此之外,部分SDK開發者還會出於某種目的,在其開發的SDK中預留後門以便於收集使用者資訊或執行越權操作,不法分子能夠利用後門對使用者手機進行遠端靜默安裝應用、靜默新增聯絡人、獲取用使用者隱私資訊等。

    當然了,第三方SDK漏洞遠不止於此。部分惡意開發者甚至會滲入到SDK開發環節,以提供第三方服務的方式吸引其他應用開發者使用其SDK,藉助這些合法應用來進行惡意廣告行為和應用推廣,從中牟取灰色收益。

    手機APP有不安全的後門?第三方SDK需要一枚金鐘罩


相關文章