你应该知道SDK是什么,它是集成在App里的软件开发包,可以理解为手机的组装模块。SDK不是“洪水猛兽”,但可能“作恶”,成为别人操控你手机的“幕后黑手”。

日前,南都个人信息保护研究中心与中国金融认证中心(CFCA)联合发布《常用第三方SDK收集使用个人信息测评报告》,报告发现,部分SDK“偷偷”收集用户个人敏感信息,还有少数SDK会向自家服务器明文传输信息。

值得关注的是,由于SDK安全性检测落后,相关监管措施尚属空白。为此,有黑产分子专门开发恶意SDK,利用知名App上架应用市场,进而控制千万用户的手机实施黑产作恶。更可怕的是,整个过程App开发者可能不知情,用户更无法感知。

“恶意SDK控制个人手机作恶已成新型黑产模式。”腾讯守护者计划安全专家黄汉川告诉南都记者,如果不加以遏制,它将控制用户手机做更多事情。

看不见的恶意SDK,黑产刷量的工具

“肉鸡”也称傀儡机,是指可以被黑客远程控制的机器。距离你的手机变成“傀儡机”,或许只需要一款恶意SDK。近日,腾讯在北京召开了一场安全沙龙活动。会上,恶意SDK控制个人手机实施黑产作恶,成为热门讨论的话题。

SDK全称是Software Development Kit,即软件开发工具包,一般是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具集合。

“SDK可以理解为一种组装模块。”据黄汉川介绍,为了提高编程的效率,程序员不可能自己编写每个小小的模块,所以会使用现成的SDK,然后植入App内。集成在应用软件内的各种SDK可帮助App高效低成本实现一系列功能,比如支付、统计、广告和地图等。

如此看来,SDK并非是“洪水猛兽”,但也不排除出现“作恶”的隐患。

南都记者曾报道,2018年4月,一款名为“寄生推”的信息推送SDK感染了300多款知名的安卓应用,受影响用户达2000多万。这款恶意SDK的传播过程非常隐蔽,可通过云端控制更新下发恶意程序代码包,入侵用户手机设备,频繁推广广告和下载无关应用等。

图自腾讯安全。

如今黑产升级!今年4月,腾讯安全发现一款新型SDK恶意刷量子包“横行”。这款恶意SDK将下载恶意子包嵌入正规App,在潜伏一段时间后,由子包从云端下发的执行代码,可以做到在用户无感知下,实现广告的自动点击刷量。

也就是说,一旦这款恶意SDK入侵,你的手机将沦为流量黑产赚取大量广告费用的“肉鸡”。

“周杰伦和蔡徐坤的‘流量之争’,说不定就有黑产控制个人手机帮忙刷量,并且是在用户完全不知情的情况下,由后台启动自动操作。”黄汉川说。

SDK作恶尚未引起重视,专家呼吁制定安全标准

长期关注网络黑产的黄汉川总结,SDK作恶有两大特点,一是安全风险隐匿化,二是影响范围广。

以前黑产分子控制“肉鸡”主要通过开发恶意App诱导用户下载,进而远程操控“受感染”的手机,但由于App安全性检测已变得完善,植入恶意SDK的App也很难上架应用商店触达用户。

不过黑产分子很快找到“漏洞”,即开发恶意SDK控制个人手机。对于App开发者而言,选择何种SDK植入软件更多看中的是功能性,几乎不会对里面的一行行代码进行安全检测分析。

此时,恶意SDK开发者通过与App厂商签订合同或提供免费下载的方式集成到应用程序内。由于恶意SDK预留后门的方式隐蔽,潜伏周期长,App应用开发者很可能就在不知情的情况下将它植入到开发程序里。如果应用商店也缺乏足够高的技术检测能力,那么恶意SDK很可能就此搭“便车”,被植入成千上万用户的手机里。

“这种黑产作恶方式太新了,尚未引起业内的重视。”黄汉川告诉南都记者。

如何应对和防范?黄汉川建议,用户在手机里安装安全软件,避免在非官方应用市场下载应用。App应用开发者应遵循合理、必要和最小化原则选择第三方SDK插件,集成前对第三方SDK进行全面的安全评估。

此外,各应用市场应加强管理,增强对恶意SDK的识别、检测和防范能力,对已发现恶意SDK的App及时下架整改。同时,黄汉川也呼吁尽快制定相应SDK的安全标准和评估方法,推动行业自律和法规出台。(李玲

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。