首页
论坛
专栏
课程

手机APP有不安全的后门?第三方SDK需要一枚金钟罩

SLLAQZX 发布于 360的安全天地 2018-10-17 19:53

    近年来,移动设备在购物、出行以及消费等领域的应用极为广泛,其扩展速度和数量都极为惊人。也正因此,移动应用软件也渗透了人们生活的方方面面,用户可通过软件完成搜索、社交、支付等操作。

    大量移动应用软件在设计开发阶段都采用了第三方SDK,其在加速产品成型的过程中,也引入了各式各样的安全问题。这也就意味着,一旦处于移动应用供应链上游环节的SDK失守,无数用户的网络安全便会遭到致命打击。对此,全球首个为移动应用提供全生命周期安全服务的产品三六零天御,重磅推出SDK加固,注入“360安全大脑”基因,为用户打造一把安全伞。

    手机APP不安全?很有可能是SDK有问题!

    第三方SDK为广告、数据、社交网站、地图等第三方服务提供商所开发的工具包,不仅可提供专业服务,其中还封装了复杂的逻辑实现以及请求响应的过程,更利于开发人员使用。随着第三方SDK的推广和使用,其已成为Android 生态系统的重要组成部分。

    虽然,在应用开发过程中集成第三方SDK占据极大优势,但是第三方SDK也会对Android 用户的隐私和安全性产生威胁。再加上第三方SDK的开发者安全能力水平参差不齐,且众多第三方SDK开发者重功能而轻安全,致使第三方SDK极有可能存在安全漏洞。

    近两年,关于第三方SDK存在安全漏洞的新闻层出不穷,如FFmpeg、友盟SDK、Zipper Down等漏洞的爆发,由于其被广泛集成在大量的APP中,漏洞影响范围极大。以2017年12月爆出的友盟SDK漏洞为例,国内消息推送厂商友盟SDK被披露存在可越权调用未导出组件的漏洞,利用该漏洞便可实现对使用了友盟SDK的应用进行多种恶意攻击。据悉,友盟SDK漏洞共影响了七千多款多种类型的应用。

    除此之外,部分SDK开发者还会出于某种目的,在其开发的SDK中预留后门以便于收集用户信息或执行越权操作,不法分子能够利用后门对用户手机进行远程静默安装应用、静默添加联系人、获取用用户隐私信息等。

    当然了,第三方SDK漏洞远不止于此。部分恶意开发者甚至会渗入到SDK开发环节,以提供第三方服务的方式吸引其他应用开发者使用其SDK,借助这些合法应用来进行恶意广告行为和应用推广,从中牟取灰色收益。

    



分享到:
最新评论 (0)
登录后即可评论