獵豹遭遇“廣告點(diǎn)擊欺詐門” 到底是怎么回事？

有外媒報(bào)道稱，應(yīng)用程序分析公司Kochava發(fā)現(xiàn)8款安卓應(yīng)用利用用戶權(quán)限進(jìn)行廣告點(diǎn)擊欺詐，或已竊走數(shù)百萬(wàn)美元收益。這其中7款應(yīng)用來(lái)自獵豹移動(dòng)。

Kochava指控：獵豹旗下的七款A(yù)PP，包括獵豹清理大師、獵豹安全大師、獵豹鎖屏等全球流行應(yīng)用，在監(jiān)控用戶的APP下載，當(dāng)用戶下載之后，獵豹會(huì)把自己的廣告代碼傳遞給廣告商，以此來(lái)獲取廣告商的下載分成。

獵豹移動(dòng)聲明：獵豹移動(dòng)App的廣告變現(xiàn)收入主要來(lái)自第三方SDK，而非獵豹移動(dòng)App自身的行為，獵豹移動(dòng)與這些SDK的提供方并無(wú)任何控制關(guān)系，在技術(shù)上，這些SDK的運(yùn)行也并不受獵豹移動(dòng)的控制。

隨著事件的發(fā)酵，這場(chǎng)互撕大戰(zhàn)愈演愈烈。安全專家分析認(rèn)為，報(bào)告如果屬實(shí)，這里面涉及三個(gè)角色：App（廣告呈現(xiàn)方，這里指獵豹移動(dòng)）、ADSDK（廣告分發(fā)平臺(tái)，這里指提供SDK的廣告公司）、廣告客戶。其中，App和ADSDK是收費(fèi)方，而廣告客戶是付費(fèi)方，也就是說(shuō)，兩個(gè)收費(fèi)方都有推廣作弊的動(dòng)機(jī)。

對(duì)此，愛加密資深安全顧問(wèn)表示，不論是兩方誰(shuí)在作弊，都是監(jiān)控到有新增應(yīng)用后，偽造推廣鏈接給廣告商。

Ø 如果是App作弊：即集成了ADSDK應(yīng)用廣告帶來(lái)的收入被其他方給攔截并篡改了，那說(shuō)明這個(gè)ADSDK的業(yè)務(wù)邏輯被破解或業(yè)務(wù)邏輯被繞過(guò)。

套路： 用戶授權(quán)App高級(jí)權(quán)限，也就是獵豹APP在安裝時(shí)要求用戶同意的那些權(quán)限，這些權(quán)限會(huì)用來(lái)監(jiān)聽新應(yīng)用的安裝和信息讀取，如電話本、地理位置等，絕大多數(shù)用戶會(huì)直接點(diǎn)擊同意。如果App（廣告呈現(xiàn)方）監(jiān)聽到新應(yīng)用的下載或安裝后，偽造一個(gè)推廣鏈接發(fā)給ADSDK，于是此次下載分成就被App給搶走了。

建議：企業(yè)在開發(fā)階段即了解自身SDK存在的安全缺陷及風(fēng)險(xiǎn)，并對(duì)SDK進(jìn)行加固，全方面提升SDK的安全防護(hù)能力，避免SDK被二次打包、被進(jìn)程注入，防止核心業(yè)務(wù)被直接查看或逆向分析，進(jìn)而保護(hù)自身的品牌形象。愛加密可為SDK提供整體安全加固，包括Jar和AAR文件的深度加密加殼、Jar和AAR文件內(nèi)函數(shù)抽取加密及動(dòng)態(tài)還原、Jar和AAR文件VMP加密技術(shù)、SO文件保護(hù)、防調(diào)試保護(hù)等，從根本上解決SDK的安全缺陷和風(fēng)險(xiǎn)，使加固后的SDK具備防逆向分析、防二次打包、防動(dòng)態(tài)調(diào)試、防進(jìn)程注入、防數(shù)據(jù)篡改等安全保護(hù)能力。

Ø 如果是ADSDK作弊：表明SDK本身暗藏作弊程序或遠(yuǎn)程操控的后門，這里是指廣告廠商提供的SDK被別人破解了。

套路：ADSDK（廣告分發(fā)平臺(tái)）擁有高級(jí)權(quán)限，即監(jiān)聽新應(yīng)用的安裝和信息讀取，當(dāng)用戶安裝新的App后ADSDK讀取應(yīng)用信息后偽造推廣鏈接請(qǐng)求發(fā)給廣告商。

建議：事前對(duì)SDK進(jìn)行完整的安全性審計(jì)，檢查SDK中擁有哪些權(quán)限，并檢查這些權(quán)限哪些是必須的，非必須權(quán)限進(jìn)行強(qiáng)制關(guān)閉等。 愛加密可為SDK提供完整的安全性審計(jì)方案，包括對(duì)SDK的基本信息檢測(cè)、數(shù)據(jù)安全檢測(cè)、代碼安全規(guī)范檢測(cè)、業(yè)務(wù)邏輯檢測(cè)，從SDK本身業(yè)務(wù)層解決此類風(fēng)險(xiǎn)。

不管此次獵豹移動(dòng)“廣告點(diǎn)擊欺詐門”事件的罪魁禍?zhǔn)资遣皇荢DK，SDK安全問(wèn)題都已不容小覷，國(guó)內(nèi)其他公司的SDK也不斷被爆出各種安全問(wèn)題，包括一些大公司也未幸免。

伴隨手機(jī)應(yīng)用的日益普及且與用戶財(cái)產(chǎn)的緊密聯(lián)系，移動(dòng)應(yīng)用開發(fā)者在一款A(yù)PP中往往會(huì)調(diào)用多個(gè)第三方SDK。由于使用帶有惡意程序的第三方SDK造成用戶隱私信息泄露與財(cái)產(chǎn)損失的安全問(wèn)題逐漸成為社會(huì)關(guān)注的新焦點(diǎn)，未來(lái)物聯(lián)網(wǎng)必將使用大量SDK，SDK的安全與否對(duì)于整個(gè)網(wǎng)絡(luò)環(huán)境至關(guān)重要。