近年来，移动设备在购物、出行以及消费等领域的应用极为广泛，其扩展速度和数量都极为惊人。也正因此，移动应用软件也渗透了人们生活的方方面面，用户可通过软件完成搜索、社交、支付等操作。

    大量移动应用软件在设计开发阶段都采用了第三方SDK，其在加速产品成型的过程中，也引入了各式各样的安全问题。这也就意味着，一旦处于移动应用供应链上游环节的SDK失守，无数用户的网络安全便会遭到致命打击。对此，全球首个为移动应用提供全生命周期安全服务的产品三六零天御，重磅推出SDK加固，注入“360安全大脑”基因，为用户打造一把安全伞。

    手机APP不安全？很有可能是SDK有问题！

    第三方SDK为广告、数据、社交网站、地图等第三方服务提供商所开发的工具包，不仅可提供专业服务，其中还封装了复杂的逻辑实现以及请求响应的过程，更利于开发人员使用。随着第三方SDK的推广和使用，其已成为Android 生态系统的重要组成部分。

    虽然，在应用开发过程中集成第三方SDK占据极大优势，但是第三方SDK也会对Android 用户的隐私和安全性产生威胁。再加上第三方SDK的开发者安全能力水平参差不齐，且众多第三方SDK开发者重功能而轻安全，致使第三方SDK极有可能存在安全漏洞。

    近两年，关于第三方SDK存在安全漏洞的新闻层出不穷，如FFmpeg、友盟SDK、Zipper Down等漏洞的爆发，由于其被广泛集成在大量的APP中，漏洞影响范围极大。以2017年12月爆出的友盟SDK漏洞为例，国内消息推送厂商友盟SDK被披露存在可越权调用未导出组件的漏洞，利用该漏洞便可实现对使用了友盟SDK的应用进行多种恶意攻击。据悉，友盟SDK漏洞共影响了七千多款多种类型的应用。

    除此之外，部分SDK开发者还会出于某种目的，在其开发的SDK中预留后门以便于收集用户信息或执行越权操作，不法分子能够利用后门对用户手机进行远程静默安装应用、静默添加联系人、获取用用户隐私信息等。

    当然了，第三方SDK漏洞远不止于此。部分恶意开发者甚至会渗入到SDK开发环节，以提供第三方服务的方式吸引其他应用开发者使用其SDK，借助这些合法应用来进行恶意广告行为和应用推广，从中牟取灰色收益。