APP開發咨詢熱線:0755-23578246 | 136-2233-6324歡迎來到深圳市樂信網絡科技有限公司網站!

已閱讀

關注App嵌入第三方SDK收集使用個人信息安全隱患

來源:lexintech.com ?? ?? 發布時間:2019-07-12
      SDK是SoftwareDevelopment Kit的縮寫,即“軟件開發工具包”。簡單來說,它是輔助開發移動應用軟件(APP)的相關文檔、范例和工具的集合。
      對 App 開發者來說,為了提高開發效率、降低成本,可以將某項功能交給第三方來開發,第三方服務提供商將服務封裝為工具包(即SDK)供App開發者使用。
      現如今,App開發者使用第三方SDK已經成為普遍現象。然而,第三方SDK自身存在的安全漏洞,以及隱瞞收集個人信息等問題,使得其安全現狀不容樂觀,需要引起各方重視。
SDK于APP間的交互
App使用第三方SDK現狀:
      近年來,我國智能手機普及率持續攀升。據美國媒體機構Zenith發布的最新研究報告預測,中國智能手機用戶數量將位居全球第一,達到13億。龐大的智能手機用戶群體托起了我國繁榮的移動應用軟件(App)市場,以及為App提供信息推送、廣告分發、數據分析、地圖導航等功能的第三方SDK服務市場。
 
(一)第三方SDK的主要類型
      目前,最常見、使用最多的SDK類型包括第三方登錄分享類、支付類、推送類、廣告類和數據統計分析類。前兩種類型相對好理解,下面主要介紹后三種SDK類型的情況:
 
1、推送類SDK
       App開發者可以使用推送類SDK及時地向其用戶推送通知或者消息,與用戶保持互動,從而有效地提高留存率,提升用戶體驗。
       目前,主流的推送類SDK包括:百度云推送、騰訊信鴿推送、極光推送、個推推送、友盟推送、智游推送、華為推送、小米推送、魔橋推送、盛大云推送等。
       同時,推送類SDK普遍運用于各個領域的App,包括:資訊閱讀類、社交交友類、金融理財類、視頻影音類、生活服務類、電商購物類、工作效率類、游戲娛樂類、物聯網類等。
 
2、廣告類SDK
       據《中國互聯網發展報告2018》顯示,2019年網絡廣告市場規模將破6000億。
       隨著移動廣告紅利時代的到來,越來越多的App開發者開始使用廣告類SDK,而廣告類SDK對各類廣告形式的支持情況也成為影響App開發者收入的關鍵因素之一。
       目前,國內市場上提供廣告類SDK的企業有很多家,主流的有多盟、TalkingData、力美、有米、InMobi、友盟、哇棒、安沃、Igexin、airAD、微云、百度廣告等。
       廣告類SDK主要運用于電商類、社交類、游戲類、美妝類App。
 
3、數據統計分析類SDK
       數據統計分析類SDK可以幫助App開發商統計和分析流量來源、內容使用、用戶屬性和行為數據,以便開發商利用數據進行產品、運營、推廣策略的決策。
       因此,越來越多的App開始使用數據統計分析類SDK。據騰訊安全反詐騙實驗室發布《網絡安全新常態下Android應用供應鏈安全探秘》報告指出,數據統計分析類SDK 集成比例最高。
       目前,主流的數據統計分析類SDK包括:友盟、海度云、谷歌Analytics、Appsee、360SDK、貴士移動等。
       數據統計分析類SDK主要運用于金融類、電商類、教育類、出行類、社交類、新聞資訊類App。
 
(二)第三方SDK應用現狀
       考慮時間、成本等因素,App開發者使用第三方SDK已成為普遍現象。中國專業IT社區CSDN相關專業人士對15個類別、1000多款主流App使用第三方SDK的統計分析結果顯示,App使用最為廣泛的第三方SDK類型為第三方登錄分享類、推送類、數據統計類SDK,以及一些基礎庫(例如:GSON、OkHttp、EventBus等)。
廣大網友最普遍使用的8類App
       如圖1所示,廣大網友最普遍使用的8類App(實用工具類、影音視聽類、聊天社交類、時尚購物類、旅行交通類、新聞資訊類、金融理財類、圖書閱讀類)中,平均使用最多的10個SDK分別是微信登錄分享、GSON、友盟統計、QQ登錄分享、微博登錄分享、小米推送、支付寶、OkHttp、org.json等。
       在15個APP類型中,體育運動類、醫療健康類、時尚購物類App平均使用第三方SDK數量位列前三,分別為30.6、30.5和28.6個。
App中使用第三方SDK的數量分布圖
圖2 App中使用第三方SDK的數量分布圖
 
第三方SDK安全問題分析
      由于第三方的SDK開發側重于功能性的完善,在安全性方面的投入較少,導致App開發者使用第三方SDK存在多種安全問題。
 
(一)隱瞞收集用戶個人信息
       近年來,涉及第三方SDK隱瞞收集個人信息的安全事件逐漸增多,例如:今年上半年,中國某科技企業被曝光利用SDK隱瞞收集用戶聯系人信息、QQ登錄信息、位置信息等;Facebook被曝光在未告知用戶的情況下,利用App Events統計分析工具從11個應用程序中收集用戶敏感信息。
       我院通過對App嵌入的第三方SDK進行檢測也發現,有些第三方SDK能夠收集個人信息標識、行動軌跡、個人偏好、網絡設備信息等,并上傳至遠程服務器,甚至是境外服務器。
       同時,卡巴斯基實驗室研究人員也曾公開表示,目前使用廣告推送SDK的應用程序總數已達到幾十億,其中大多數會以明文方式向服務器傳輸個人信息(包括:姓名、年齡、性別、電話號碼、郵箱地址、位置信息、唯一設備標識碼等)。
       這些個人信息在個人信息控制者、單個或多個第三方之間流動,增加了個人信息泄露、濫用的安全風險,同時降低了個人信息主體對其個人信息的控制能力。
 
(二)SDK借助合法App執行惡意操作
       為了謀取經濟利益,部分惡意開發者滲入到SDK開發環節,以提供第三方服務的方式吸引App開發者來使用他們的SDK。
       這些惡意SDK借助合法應用可以有效地躲避一部分應用市場和安全廠商的檢測。惡意開發者能夠利用后門對用戶手機進行遠程靜默安裝應用、靜默添加聯系人、獲取用戶隱私信息等。
       2018年4月,騰訊安全反詐騙實驗室的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發工具包(SDK)——“寄生推”,它通過預留的“后門”云控開啟惡意功能,私自Root用戶設備并植入惡意模塊,進行惡意廣告行為和應用推廣,以實現牟取灰色收益。300多款知名App遭遇“寄生推”的病毒感染,其中不乏用戶超過千萬的巨量級軟件,潛在影響用戶超2000萬。
 
(三)第三方SDK自身安全性令人堪憂
       目前,絕大部分第三方SDK缺乏安全審核環節,造成代碼存有未知安全漏洞。
       目前,已經發現的SDK安全漏洞包括HTTP誤用,SSL/TLS不正確配置、敏感權限濫用、通過日志造成信息泄露等。
       而近兩年,FFmpeg、SQLite、pdfium、個信SDK、Chrome內核等SDK已經被曝光存在安全漏洞,由于這些第三方SDK被廣泛使用到大量App中,漏洞的造成影響范圍非常大。
       例如,2017年12月,國內消息推送廠商友盟SDK被披露存在可越權調用未導出組件的漏洞,利用該漏洞便可實現對使用了友盟SDK的應用進行多種惡意攻擊。據悉,友盟SDK漏洞共影響了七千多款App。
對策建議
       當前,各類APP全天候深度參與廣大用戶生產生活,嵌入其中的SDK也隨之獲得了獲取用戶個人信息的渠道,掌握的數據量龐大,而其作為第三方的角色使得數據流向更加多樣化,潛在安全風險不容忽視。
       然而,目前從法規及監管的管轄對象來看,多側重于對網絡運營者的規制,并非所有SDK開發者均在監管范圍內,在一定程度上部分SDK處在法律和監管的真空地帶。
       建議政府部門高度重視,將SDK納入監管范圍,從法律和政策層面進行規范和引導。同時,考慮到SDK應用體量大、問題發現困難和技術檢測復雜的特點,建議充分調動各界力量,形成“政府規制、社會監督、企業履責”監督機制,共同營造良好安全生態。
 
(一)加快推進SDK安全系列標準研制
       建議盡快啟動SDK安全系列標準研究,圍繞SDK的自身安全性、數據安全和個人信息保護等方面的問題,加快研制相關標準規范、操作指引,指導App開發者規范使用第三方SDK,引導SDK開發者提升SDK自身安全水平,降低App使用第三方SDK的安全風險。
 
(二)加強第三方SDK安全監管
       建議政府部門采取全網監測、不定期抽查等方式,對于媒體曝光、社會披露、監督檢查中發現存在違法違規行為或安全隱患的第三方SDK,經驗證核實無誤的,定期向社會通報違法違規第三方SDK名單。
 
(三)開展第三方SDK行業自律
       建議相關行業協會或社會組織可以主動發揮行業自律平臺作用,推動各利益相關方共同制定第三方SDK安全準則、收集使用個人信息行為準則等,推廣宣傳相關最佳實踐,帶動提升第三方SDK整體安全水平。

本文轉載自:App個人信息舉報公眾號。
網站開發 產品設計 微信公眾號 APP運營 APP開發 用戶體驗 APP開發公司 微信小程序 產品經理 網站設計
日本无码亚洲高清视频