恶意SDK潜伏知名App作恶:用户手机成傀儡机,业内呼吁监管

隐私护卫队
原创2019-07-29 21:27

你应该知道SDK是什么,它是集成在App里的软件开发包,可以理解为手机的组装模块。SDK不是“洪水猛兽”,但可能“作恶”,成为别人操控你手机的“幕后黑手”。 

日前,南都个人信息保护研究中心与中国金融认证中心(CFCA)联合发布《常用第三方SDK收集使用个人信息测评报告》,报告发现,部分SDK“偷偷”收集用户个人敏感信息,还有少数SDK会向自家服务器明文传输信息。 

值得关注的是,由于SDK安全性检测落后,相关监管措施尚属空白。为此,有黑产分子专门开发恶意SDK,利用知名App上架应用市场,进而控制千万用户的手机实施黑产作恶。更可怕的是,整个过程App开发者可能不知情,用户更无法感知。 

“恶意SDK控制个人手机作恶已成新型黑产模式。”腾讯守护者计划安全专家黄汉川告诉南都记者,如果不加以遏制,它将控制用户手机做更多事情。 

1
看不见的恶意SDK,黑产刷量的工具

“肉鸡”也称傀儡机,是指可以被黑客远程控制的机器。距离你的手机变成“傀儡机”,或许只需要一款恶意SDK。近日,腾讯在北京召开了一场安全沙龙活动。会上,恶意SDK控制个人手机实施黑产作恶,成为热门讨论的话题。 

SDK全称是Software Development Kit,即软件开发工具包,一般是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具集合。 

“SDK可以理解为一种组装模块。”据黄汉川介绍,为了提高编程的效率,程序员不可能自己编写每个小小的模块,所以会使用现成的SDK,然后植入App内。集成在应用软件内的各种SDK可帮助App高效低成本实现一系列功能,比如支付、统计、广告和地图等。 

如此看来,SDK并非是“洪水猛兽”,但也不排除出现“作恶”的隐患。 

南都记者曾报道,2018年4月,一款名为“寄生推”的信息推送SDK感染了300多款知名的安卓应用,受影响用户达2000多万。这款恶意SDK的传播过程非常隐蔽,可通过云端控制更新下发恶意程序代码包,入侵用户手机设备,频繁推广广告和下载无关应用等。 

屏幕快照 2019-07-29 下午8.42.56.png

图自腾讯安全。

如今黑产升级!今年4月,腾讯安全发现一款新型SDK恶意刷量子包“横行”。这款恶意SDK将下载恶意子包嵌入正规App,在潜伏一段时间后,由子包从云端下发的执行代码,可以做到在用户无感知下,实现广告的自动点击刷量。 

也就是说,一旦这款恶意SDK入侵,你的手机将沦为流量黑产赚取大量广告费用的“肉鸡”。 

“周杰伦和蔡徐坤的‘流量之争’,说不定就有黑产控制个人手机帮忙刷量,并且是在用户完全不知情的情况下,由后台启动自动操作。”黄汉川说。 

2
SDK作恶尚未引起重视,专家呼吁制定安全标准

长期关注网络黑产的黄汉川总结,SDK作恶有两大特点,一是安全风险隐匿化,二是影响范围广。 

以前黑产分子控制“肉鸡”主要通过开发恶意App诱导用户下载,进而远程操控“受感染”的手机,但由于App安全性检测已变得完善,植入恶意SDK的App也很难上架应用商店触达用户。 

不过黑产分子很快找到“漏洞”,即开发恶意SDK控制个人手机。对于App开发者而言,选择何种SDK植入软件更多看中的是功能性,几乎不会对里面的一行行代码进行安全检测分析。 

此时,恶意SDK开发者通过与App厂商签订合同或提供免费下载的方式集成到应用程序内。由于恶意SDK预留后门的方式隐蔽,潜伏周期长,App应用开发者很可能就在不知情的情况下将它植入到开发程序里。如果应用商店也缺乏足够高的技术检测能力,那么恶意SDK很可能就此搭“便车”,被植入成千上万用户的手机里。 

“这种黑产作恶方式太新了,尚未引起业内的重视。”黄汉川告诉南都记者。 

如何应对和防范?黄汉川建议,用户在手机里安装安全软件,避免在非官方应用市场下载应用。App应用开发者应遵循合理、必要和最小化原则选择第三方SDK插件,集成前对第三方SDK进行全面的安全评估。 

此外,各应用市场应加强管理,增强对恶意SDK的识别、检测和防范能力,对已发现恶意SDK的App及时下架整改。同时,黄汉川也呼吁尽快制定相应SDK的安全标准和评估方法,推动行业自律和法规出台。 

采写:南都记者李玲 

编辑:蒋琳

7
对这篇文章有想法?跟我聊聊吧
本作品著作权归南方都市报社所有,如需使用需经书面授权。授权联系方式:
banquan@nandu.cc,020-87006626。
好嘢听新闻报料去APP