手機APP有不安全的後門？第三方SDK需要一枚金鐘罩

    近年來，移動裝置在購物、出行以及消費等領域的應用極為廣泛，其擴充套件速度和數量都極為驚人。也正因此，移動應用軟體也滲透了人們生活的方方面面，使用者可透過軟體完成搜尋、社交、支付等操作。

    大量移動應用軟體在設計開發階段都採用了第三方SDK，其在加速產品成型的過程中，也引入了各式各樣的安全問題。這也就意味著，一旦處於移動應用供應鏈上游環節的SDK失守，無數使用者的網路安全便會遭到致命打擊。對此，全球首個為移動應用提供全生命週期安全服務的產品三六零天御，重磅推出SDK加固，注入“360安全大腦”基因，為使用者打造一把安全傘。

    手機APP不安全？很有可能是SDK有問題！

    第三方SDK為廣告、資料、社交網站、地圖等第三方服務提供商所開發的工具包，不僅可提供專業服務，其中還封裝了複雜的邏輯實現以及請求響應的過程，更利於開發人員使用。隨著第三方SDK的推廣和使用，其已成為Android 生態系統的重要組成部分。

    雖然，在應用開發過程中整合第三方SDK佔據極大優勢，但是第三方SDK也會對Android 使用者的隱私和安全性產生威脅。再加上第三方SDK的開發者安全能力水平參差不齊，且眾多第三方SDK開發者重功能而輕安全，致使第三方SDK極有可能存在安全漏洞。

    近兩年，關於第三方SDK存在安全漏洞的新聞層出不窮，如FFmpeg、友盟SDK、Zipper Down等漏洞的爆發，由於其被廣泛整合在大量的APP中，漏洞影響範圍極大。以2017年12月爆出的友盟SDK漏洞為例，國內訊息推送廠商友盟SDK被披露存在可越權呼叫未匯出元件的漏洞，利用該漏洞便可實現對使用了友盟SDK的應用進行多種惡意攻擊。據悉，友盟SDK漏洞共影響了七千多款多種型別的應用。

    除此之外，部分SDK開發者還會出於某種目的，在其開發的SDK中預留後門以便於收集使用者資訊或執行越權操作，不法分子能夠利用後門對使用者手機進行遠端靜默安裝應用、靜默新增聯絡人、獲取用使用者隱私資訊等。

    當然了，第三方SDK漏洞遠不止於此。部分惡意開發者甚至會滲入到SDK開發環節，以提供第三方服務的方式吸引其他應用開發者使用其SDK，藉助這些合法應用來進行惡意廣告行為和應用推廣，從中牟取灰色收益。