有外媒報(bào)道稱,應(yīng)用程序分析公司Kochava發(fā)現(xiàn)8款安卓應(yīng)用利用用戶權(quán)限進(jìn)行廣告點(diǎn)擊欺詐,或已竊走數(shù)百萬(wàn)美元收益。這其中7款應(yīng)用來(lái)自獵豹移動(dòng)。
Kochava指控:獵豹旗下的七款A(yù)PP,包括獵豹清理大師、獵豹安全大師、獵豹鎖屏等全球流行應(yīng)用,在監(jiān)控用戶的APP下載,當(dāng)用戶下載之后,獵豹會(huì)把自己的廣告代碼傳遞給廣告商,以此來(lái)獲取廣告商的下載分成。
獵豹移動(dòng)聲明:獵豹移動(dòng)App的廣告變現(xiàn)收入主要來(lái)自第三方SDK,而非獵豹移動(dòng)App自身的行為,獵豹移動(dòng)與這些SDK的提供方并無(wú)任何控制關(guān)系,在技術(shù)上,這些SDK的運(yùn)行也并不受獵豹移動(dòng)的控制。
隨著事件的發(fā)酵,這場(chǎng)互撕大戰(zhàn)愈演愈烈。安全專家分析認(rèn)為,報(bào)告如果屬實(shí),這里面涉及三個(gè)角色:App(廣告呈現(xiàn)方,這里指獵豹移動(dòng))、ADSDK(廣告分發(fā)平臺(tái),這里指提供SDK的廣告公司)、廣告客戶。其中,App和ADSDK是收費(fèi)方,而廣告客戶是付費(fèi)方,也就是說(shuō),兩個(gè)收費(fèi)方都有推廣作弊的動(dòng)機(jī)。
對(duì)此,愛加密資深安全顧問(wèn)表示,不論是兩方誰(shuí)在作弊,都是監(jiān)控到有新增應(yīng)用后,偽造推廣鏈接給廣告商。
Ø 如果是App作弊:即集成了ADSDK應(yīng)用廣告帶來(lái)的收入被其他方給攔截并篡改了,那說(shuō)明這個(gè)ADSDK的業(yè)務(wù)邏輯被破解或業(yè)務(wù)邏輯被繞過(guò)。
套路: 用戶授權(quán)App高級(jí)權(quán)限,也就是獵豹APP在安裝時(shí)要求用戶同意的那些權(quán)限,這些權(quán)限會(huì)用來(lái)監(jiān)聽新應(yīng)用的安裝和信息讀取,如電話本、地理位置等,絕大多數(shù)用戶會(huì)直接點(diǎn)擊同意。如果App(廣告呈現(xiàn)方)監(jiān)聽到新應(yīng)用的下載或安裝后,偽造一個(gè)推廣鏈接發(fā)給ADSDK,于是此次下載分成就被App給搶走了。
建議:企業(yè)在開發(fā)階段即了解自身SDK存在的安全缺陷及風(fēng)險(xiǎn),并對(duì)SDK進(jìn)行加固,全方面提升SDK的安全防護(hù)能力,避免SDK被二次打包、被進(jìn)程注入,防止核心業(yè)務(wù)被直接查看或逆向分析,進(jìn)而保護(hù)自身的品牌形象。愛加密可為SDK提供整體安全加固,包括Jar和AAR文件的深度加密加殼、Jar和AAR文件內(nèi)函數(shù)抽取加密及動(dòng)態(tài)還原、Jar和AAR文件VMP加密技術(shù)、SO文件保護(hù)、防調(diào)試保護(hù)等,從根本上解決SDK的安全缺陷和風(fēng)險(xiǎn),使加固后的SDK具備防逆向分析、防二次打包、防動(dòng)態(tài)調(diào)試、防進(jìn)程注入、防數(shù)據(jù)篡改等安全保護(hù)能力。
Ø 如果是ADSDK作弊:表明SDK本身暗藏作弊程序或遠(yuǎn)程操控的后門,這里是指廣告廠商提供的SDK被別人破解了。
套路:ADSDK(廣告分發(fā)平臺(tái))擁有高級(jí)權(quán)限,即監(jiān)聽新應(yīng)用的安裝和信息讀取,當(dāng)用戶安裝新的App后ADSDK讀取應(yīng)用信息后偽造推廣鏈接請(qǐng)求發(fā)給廣告商。
建議:事前對(duì)SDK進(jìn)行完整的安全性審計(jì),檢查SDK中擁有哪些權(quán)限,并檢查這些權(quán)限哪些是必須的,非必須權(quán)限進(jìn)行強(qiáng)制關(guān)閉等。 愛加密可為SDK提供完整的安全性審計(jì)方案,包括對(duì)SDK的基本信息檢測(cè)、數(shù)據(jù)安全檢測(cè)、代碼安全規(guī)范檢測(cè)、業(yè)務(wù)邏輯檢測(cè),從SDK本身業(yè)務(wù)層解決此類風(fēng)險(xiǎn)。
不管此次獵豹移動(dòng)“廣告點(diǎn)擊欺詐門”事件的罪魁禍?zhǔn)资遣皇荢DK,SDK安全問(wèn)題都已不容小覷,國(guó)內(nèi)其他公司的SDK也不斷被爆出各種安全問(wèn)題,包括一些大公司也未幸免。
伴隨手機(jī)應(yīng)用的日益普及且與用戶財(cái)產(chǎn)的緊密聯(lián)系,移動(dòng)應(yīng)用開發(fā)者在一款A(yù)PP中往往會(huì)調(diào)用多個(gè)第三方SDK。由于使用帶有惡意程序的第三方SDK造成用戶隱私信息泄露與財(cái)產(chǎn)損失的安全問(wèn)題逐漸成為社會(huì)關(guān)注的新焦點(diǎn),未來(lái)物聯(lián)網(wǎng)必將使用大量SDK,SDK的安全與否對(duì)于整個(gè)網(wǎng)絡(luò)環(huán)境至關(guān)重要。
Kochava指控:獵豹旗下的七款A(yù)PP,包括獵豹清理大師、獵豹安全大師、獵豹鎖屏等全球流行應(yīng)用,在監(jiān)控用戶的APP下載,當(dāng)用戶下載之后,獵豹會(huì)把自己的廣告代碼傳遞給廣告商,以此來(lái)獲取廣告商的下載分成。
獵豹移動(dòng)聲明:獵豹移動(dòng)App的廣告變現(xiàn)收入主要來(lái)自第三方SDK,而非獵豹移動(dòng)App自身的行為,獵豹移動(dòng)與這些SDK的提供方并無(wú)任何控制關(guān)系,在技術(shù)上,這些SDK的運(yùn)行也并不受獵豹移動(dòng)的控制。
隨著事件的發(fā)酵,這場(chǎng)互撕大戰(zhàn)愈演愈烈。安全專家分析認(rèn)為,報(bào)告如果屬實(shí),這里面涉及三個(gè)角色:App(廣告呈現(xiàn)方,這里指獵豹移動(dòng))、ADSDK(廣告分發(fā)平臺(tái),這里指提供SDK的廣告公司)、廣告客戶。其中,App和ADSDK是收費(fèi)方,而廣告客戶是付費(fèi)方,也就是說(shuō),兩個(gè)收費(fèi)方都有推廣作弊的動(dòng)機(jī)。
對(duì)此,愛加密資深安全顧問(wèn)表示,不論是兩方誰(shuí)在作弊,都是監(jiān)控到有新增應(yīng)用后,偽造推廣鏈接給廣告商。
Ø 如果是App作弊:即集成了ADSDK應(yīng)用廣告帶來(lái)的收入被其他方給攔截并篡改了,那說(shuō)明這個(gè)ADSDK的業(yè)務(wù)邏輯被破解或業(yè)務(wù)邏輯被繞過(guò)。
套路: 用戶授權(quán)App高級(jí)權(quán)限,也就是獵豹APP在安裝時(shí)要求用戶同意的那些權(quán)限,這些權(quán)限會(huì)用來(lái)監(jiān)聽新應(yīng)用的安裝和信息讀取,如電話本、地理位置等,絕大多數(shù)用戶會(huì)直接點(diǎn)擊同意。如果App(廣告呈現(xiàn)方)監(jiān)聽到新應(yīng)用的下載或安裝后,偽造一個(gè)推廣鏈接發(fā)給ADSDK,于是此次下載分成就被App給搶走了。
建議:企業(yè)在開發(fā)階段即了解自身SDK存在的安全缺陷及風(fēng)險(xiǎn),并對(duì)SDK進(jìn)行加固,全方面提升SDK的安全防護(hù)能力,避免SDK被二次打包、被進(jìn)程注入,防止核心業(yè)務(wù)被直接查看或逆向分析,進(jìn)而保護(hù)自身的品牌形象。愛加密可為SDK提供整體安全加固,包括Jar和AAR文件的深度加密加殼、Jar和AAR文件內(nèi)函數(shù)抽取加密及動(dòng)態(tài)還原、Jar和AAR文件VMP加密技術(shù)、SO文件保護(hù)、防調(diào)試保護(hù)等,從根本上解決SDK的安全缺陷和風(fēng)險(xiǎn),使加固后的SDK具備防逆向分析、防二次打包、防動(dòng)態(tài)調(diào)試、防進(jìn)程注入、防數(shù)據(jù)篡改等安全保護(hù)能力。
Ø 如果是ADSDK作弊:表明SDK本身暗藏作弊程序或遠(yuǎn)程操控的后門,這里是指廣告廠商提供的SDK被別人破解了。
套路:ADSDK(廣告分發(fā)平臺(tái))擁有高級(jí)權(quán)限,即監(jiān)聽新應(yīng)用的安裝和信息讀取,當(dāng)用戶安裝新的App后ADSDK讀取應(yīng)用信息后偽造推廣鏈接請(qǐng)求發(fā)給廣告商。
建議:事前對(duì)SDK進(jìn)行完整的安全性審計(jì),檢查SDK中擁有哪些權(quán)限,并檢查這些權(quán)限哪些是必須的,非必須權(quán)限進(jìn)行強(qiáng)制關(guān)閉等。 愛加密可為SDK提供完整的安全性審計(jì)方案,包括對(duì)SDK的基本信息檢測(cè)、數(shù)據(jù)安全檢測(cè)、代碼安全規(guī)范檢測(cè)、業(yè)務(wù)邏輯檢測(cè),從SDK本身業(yè)務(wù)層解決此類風(fēng)險(xiǎn)。
不管此次獵豹移動(dòng)“廣告點(diǎn)擊欺詐門”事件的罪魁禍?zhǔn)资遣皇荢DK,SDK安全問(wèn)題都已不容小覷,國(guó)內(nèi)其他公司的SDK也不斷被爆出各種安全問(wèn)題,包括一些大公司也未幸免。
伴隨手機(jī)應(yīng)用的日益普及且與用戶財(cái)產(chǎn)的緊密聯(lián)系,移動(dòng)應(yīng)用開發(fā)者在一款A(yù)PP中往往會(huì)調(diào)用多個(gè)第三方SDK。由于使用帶有惡意程序的第三方SDK造成用戶隱私信息泄露與財(cái)產(chǎn)損失的安全問(wèn)題逐漸成為社會(huì)關(guān)注的新焦點(diǎn),未來(lái)物聯(lián)網(wǎng)必將使用大量SDK,SDK的安全與否對(duì)于整個(gè)網(wǎng)絡(luò)環(huán)境至關(guān)重要。