具備強大功能的第三方SDK，廣泛的應用在大量AndroidAPP的設計開發(fā)階段，成為整個Android軟件供應鏈中不可或缺的一部分。但這也同時意味著，一旦處于供應鏈上游環(huán)節(jié)的SDK失守，不僅給大量Android應用帶來安全隱患，更會影響無數(shù)用戶的網(wǎng)絡安全。

7月25日，騰訊安全反詐騙實驗室發(fā)布《網(wǎng)絡安全新常態(tài)下Android應用供應鏈安全探秘》(下簡稱報告)。報告指出，第三方SDK安全事件是Android供應鏈中頻發(fā)的安全事件，這類攻擊大多采用了白簽名繞過查殺體系的機制，其行為也介于黑白之間，從影響用戶數(shù)來說遠超一般的漏洞利用類攻擊。尤其對于接入SDK數(shù)量最多的金融類APP而言，潛伏著巨大隱患，亟需提高警惕。

統(tǒng)計分析類SDK 集成比例最高 金融類型APP平均使用超20個SDK

第三方SDK包括廣告、支付、統(tǒng)計、社交、推送，地圖等類別，是廣告商、支付公司、社交、推送平臺，地圖服務商等第三方服務公司為了便于應用開發(fā)人員使用其提供的服務而開發(fā)的工具包，封裝了一些復雜的邏輯實現(xiàn)以及請求，響應解析的API，由于其使用的廣泛性，一旦出現(xiàn)安全問題并且被黑客利用，其影響范圍之廣，危害之大不言而喻。

報告針對應用市場上各類型應用TOP 100使用的第三方SDK情況進行分析，發(fā)現(xiàn)各類SDK在應用中的集成比例從高到低依次為統(tǒng)計分析類、廣告類、社交類、支付類、位置類、推送類。不難發(fā)現(xiàn)，被廣泛使用的SDK直接和用戶的移動支付安全、地理隱私等關(guān)系密切。

(SDK類別被集成比例)

而各種類型的APP在第三方SDK使用數(shù)量方面，金融借貸類平均使用的SDK數(shù)量最多，達到21.5，緊隨其后是新聞類APP，平均數(shù)量為21.2;往后是購物類、社交類、銀行類和游戲類，平均數(shù)量都超過15個;再后面的則是出行類、辦公類和安全工具類，平均使用的SDK數(shù)量相對較少，分別為11.4、9.7和6.7。

(各類應用平均集成SDK的個數(shù))

從報告統(tǒng)計得到的數(shù)據(jù)可以看到，Android應用在開發(fā)時都集成使用了數(shù)目眾多的第三方SDK，尤其是金融借貸類、購物類、銀行類等涉及用戶身份信息和財產(chǎn)安全的應用，使用的第三方SDK數(shù)量普遍在15個以上，最多的甚至達到30多個。

報告指出，這些應用集成的第三方SDK中，不僅包含大廠商提供的SDK，而且還包含很多開源社區(qū)提供的SDK，這些SDK的安全性都沒有得到很好的驗證，一旦發(fā)生安全問題，將直接危害用戶的隱私和財產(chǎn)安全，造成嚴重的后果。

第三方SDK安全“內(nèi)憂外患” “寄生推”SDK事件揭示惡意開發(fā)者已滲入

第三方SDK的安全堪稱“內(nèi)憂外患”。除了生來就瞄準獲取用戶隱私信息的惡意SDK之外;SDK自身存在的漏洞如果被不法分子利用，攻擊者就能夠利用SDK本身存在的強大功能發(fā)動惡意的攻擊行為，例如在用戶毫無察覺的情況下打開相機拍照，通過發(fā)送短信盜取雙因素認證令牌，或?qū)⒃O備變成僵尸網(wǎng)絡的一部分。

報告總結(jié)了近幾年Android平臺發(fā)生第三方SDK安全事件，發(fā)現(xiàn)其安全問題主要發(fā)生在三個方面：首先，第三方SDK的開發(fā)者的安全能力水平參差不齊，且眾多第三方SDK的開發(fā)者側(cè)重于功能的實現(xiàn)，在安全方面的投入不足，導致第三方SDK中可能存在著這樣或那樣的安全漏洞。近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等，由于其被廣泛集成到大量的APP中，漏洞的影響范圍非常大。

其次，部分SDK開發(fā)者出于某種目的，在其開發(fā)的SDK中預留了后門用于收集用戶信息和執(zhí)行越權(quán)操作;再次，部分惡意開發(fā)者滲入了SDK開發(fā)環(huán)節(jié)，以提供第三方服務的方式吸引其他APP應用開發(fā)者來集成他們的SDK。借助這些合法應用，惡意的SDK可以有效地躲避大部分應用市場和安全廠商的檢測，影響大量用戶的安全。

今年4月，騰訊安全反詐騙實驗室的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發(fā)工具包(SDK)——“寄生推”，它通過預留的“后門”云控開啟惡意功能，私自ROOT用戶設備并植入惡意模塊，進行惡意廣告行為和應用推廣，以實現(xiàn)牟取灰色收益。300多款知名應用遭遇“寄生推”的病毒感染，其中不乏用戶超過千萬的巨量級軟件，潛在影響用戶超2000萬。

“寄生推”SDK的爆發(fā)反映出，惡意軟件作者正越來越多地利用用戶與軟件供應商間的固有信任，通過層出不窮的攻擊手法投遞惡意載體，造成難以估量的損失。對此，報告呼吁，在應對應用供應鏈攻擊的整個場景中，需要手機廠商、應用開發(fā)者、應用市場、安全廠商、普通用戶等各主體積極參與、通力合作，才能構(gòu)建Android應用供應鏈的安全生態(tài)。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。