7月16日晚，央視3·15晚會拉開大幕，再次敲響了消費領域的警鐘。據央視報導，上海市消費者權益保護委員會委託第三方對市場上的App進行檢測，發現某些第三方開發的SDK包存在違規收集使用者個人資訊的情況。日前，工信部已要求嚴厲查處涉事企業，並責成國內主要應用商店展開“地毯式”排查，及時通知APP運營開發者自查自糾，及時發現、處理違規收集使用者個人資訊的SDK。

第三方SDK洩露隱私問題的暴露，意味著安全風險檢測在應用開發與運營過程中非常關鍵，APP需要全方位、全生命週期的安全檢測與管理，以確保廣大使用者的資訊保安。

騰訊安全自研的自動化Android應用漏洞掃描系統——ApkPecker，能夠進行高效的安全漏洞掃描，精準定位漏洞並提供修復建議，提升應用安全性。針對第三方SDK，ApkPecker可以精準識別各類風險漏洞，助力應用開發者及時防禦，有效對抗。

近五成APP存在SDK漏洞，移動應用需要全方位檢測

移動應用從開發、上架到使用者實際互動使用涉及多個環節，每個環節都存在引發安全問題的諸多因素。

SDK（Software Development Kit），全名軟體開發工具包，是用來輔助開發某一類軟體的相關文件、範例和工具的集合。有了這些第三方的SDK，APP就能高效而低成本地實現社交、支付、地圖等功能；但由於開發者的安全能力有限、安全能力不足，同時也會不可避免地帶來一些未知風險。

以央視3·15曝光的SDK問題為例，第三方SDK除了會讀取裝置的運營商資訊、電話號碼、簡訊記錄外，還會上傳使用者手機中的簡訊內容，包括帶有驗證碼的簡訊。簡訊驗證碼是App驗證使用者身份的重要手段，通過簡訊驗證碼可以完成開通業務、支付款項等多項敏感操作，一旦洩露將嚴重危害使用者的財務安全。

（圖：2020年3·15晚會視訊截圖）

伴隨移動應用開發技術的飛速發展，除第三方SDK洩露隱私外，惡意破解、盜版、核心程式碼被竊取、惡意程式碼注入、APP劫持、移動業務攻擊等安全風險，可能存在於應用開發、分發與使用的各個環節。因此，移動應用安全防禦需要產業鏈各個角色參與。

騰訊ApkPecker高效、準確助力行業加固移動應用安全

騰訊安全自研的面向攻擊面的Android應用檢測系統ApkPecker，可以幫助行業上下游完成相關安全風險檢測與控制工作。在Apkpecker的助力下，廣大移動應用開發商可以對各種移動應用風險進行有力的防禦，建立從APP開發到使用者互動的產品全生命週期的安全管理，開展實時的安全風險檢測與控制，為使用者的手機資訊、財產安全保駕護航。

據瞭解，ApkPecker漏洞檢測流程包括構建控制流圖、靜態資料流分析和汙點分析、漏洞挖掘以及出具漏洞檢測結果四個關鍵步驟。其中，控制流圖主要針對Android應用生命週期和應用攻擊面建模；資料流分析和汙點分析能夠構建所關注的資料流向，提供資料來源到漏洞點的資料流路徑構建能力，包括Forward 和Backward 兩種分析模式；漏洞挖掘覆蓋了公開組建、外接儲存空間、WebView回撥、JavaScriptInterface回撥、開放Socket埠等全面的攻擊面，基本覆蓋Android應用中出現的問題。

ApkPecker的核心優勢有三。一是檢測方法更精確，通過控制流分析、資料流分析和靜態汙點分析，ApkPecker能夠儘可能地恢復資料資訊，進行多層級的綜合判斷。二是漏洞檢測點更有效，ApkPecker基於騰訊安全以往經驗的總結，能夠發現危害性、利用性更高的漏洞。三是攻擊路徑更完整、更易於驗證。ApkPecker跟蹤從攻擊面入口到漏洞觸發的完整路徑，能夠大大提高漏洞分析的效率。

通過一系列高效、完備、準確的漏洞檢測流程，ApkPeckerP已經具備了控制管理和APP漏洞自動挖掘能力，能夠實現程式原始檔、內部資料互動、APP防禦、第三方SDK等多維度的漏洞檢測。

（圖：ApkPecker移動應用安全檢測報告）

目前，Apkpecker的安全檢測能力已被持續驗證並獲得認可。譬如，Apkpecker於去年8月整合了騰訊金剛檢測系統，為騰訊自研APP安全保駕護航；在國內外100+知名APP中發現160+可利用安全漏洞，漏洞反饋獲得Google 官方認可；檢測到PayPal旗下Venmo應用價值1W美元的遠端賬號劫持漏洞等。

Apkpecker由騰訊安全聯合實驗室旗下的科恩實驗室研發。作為騰訊安全旗下的資訊保安團隊，騰訊安全科恩實驗室的技術實力和科研成果處於國際領先水平，是世界範圍內由廠商官方確認發現計算機漏洞數量最多、最瞭解突破現代安全保護技術的專業安全團隊之一。隨著更多ICT新技術進入產業網際網路，騰訊安全科恩實驗室還將向智慧網聯汽車、安卓應用生態、IoT等行業開放核心技術能力，並根據產業實際痛點和深度研究推出相關行業資訊保安解決方案，為各行業安全生態建設和健康發展貢獻力量。