惡意SDK是什麼?它又是怎樣悄悄在我們的手機中讀取信息的?它會對我們的生活產生怎樣的危害?
惡意SDK背後作惡
SDK是Software Development Kit的縮寫,即「軟體開發工具包」。簡單來說,它是輔助開發某一類應用軟體的相關文檔、範例和工具的集合。
對App來說,為了縮短APP開發周期、提高開發效率,可以將某項功能交給第三方來開發,而第三方服務提供商便會將服務封裝成SDK供開發者使用。
而部分SDK包中會加入一些惡意功能,輕者違規獲取用戶信息,重者則會威脅手機隱私安全、資金帳戶安全。
如「3·15晚會」曝光的氪信SDK,嵌入到APP後會默默收集用戶數據,其中包括:聯繫人、通話記錄、簡訊、應用安裝列表、設備信息、位置信息等。
據央視曝光,這款SDK共涉及50餘個手機APP,SDK作為手機軟體中提供某種功能或服務的插件植入到手機軟體中,安裝了這些APP的用戶,手機中的隱私信息會被不斷讀取,而在這個過程中,用戶毫不知情。
(上下滑動查看)
而此次晚會曝光的另一款北京招財旺旺信息技術有限公司開發的SDK,除了收集用戶手機號碼、設備信息等隱私外,甚至會收集並上傳用戶手機中的簡訊內容,帶有驗證碼的簡訊同樣會被上傳,在採集之後還會發送至指定伺服器進行儲存。
而用戶的簡訊驗證碼是目前手機APP驗證用戶身份的重要手段之一,一旦洩露,不法分子可能會利用簡訊驗證碼進行軟體登錄、支付款項、開通業務等行為,可能會為用戶帶來極為嚴重的金錢損失。
利用個人隱私頻頻作惡
除了央視所曝光的SDK過度讀取用戶隱私外,不法分子還利用惡意SDK為以下黑產事件「開路」:
2018年曾曝光過的「XX推」SDK,潛在影響近2千萬用戶。
開發商在300多款應用裡安裝了該款SDK,通過後門雲控開啟惡意功能,非法控制個人手機。惡意SDK可在雲端動態更新下向用戶手機發送惡意代碼包,Root用戶手機,植入惡意應用到用戶設備系統目錄,進行惡意廣告行為和應用推廣,以實現牟取灰色收益。
同時,該SDK還會從伺服器獲取刷量任務,通過惡意控制用戶手機的方式,在用戶無感知的情況下進行自動化刷量服務。在無形中,你的手機成為了惡意流量黑產的「幫手」。
還有部分不法商家不斷突破紅線,將SDK用於「第四方支付平臺」,使用自己註冊和控制的支付「空殼公司」,為無收費權限的遊戲軟體、色情平臺、賭博平臺提供結算服務,給平臺帶來一定監管風險。
2019年9月,守護者計劃安全團隊配合遼寧警方破獲一起非法結算案,涉及微信商戶流水60億元。涉案公司屬遊戲行業比較知名的聚合支付公司,在正常聚合業務之外,還為300餘款無牌遊戲APP提供收款通道。該案核心手法是挪用了商戶支付接口:犯罪團夥將使用空殼公司註冊的批量微信商戶信息集成到SDK中,當團夥與無牌遊戲公司勾連時,便將SDK作為遊戲APP的支付功能模塊使用,最終將所收的遊戲充值款回流給遊戲公司,實現結算目的。
惡意SDK擁有很強的隱蔽性和對抗殺毒軟體的能力,軟體一旦植入惡意SDK,再通過應用市場分發到用戶手中,就會造成較大的影響。
這些惡意SDK會持續對用戶的個人隱私進行過度讀取,甚至幫助網絡黑產「鋪路」,嚴重影響移動網際網路用戶的信息安全和財產安全,危害合法應用市場聲譽,造成惡劣的社會影響。
如果這類型的新型黑產手法不加以遏制,未來SDK黑產甚至可以控制用戶手機做更多的事情。
需要多方聯合齊努力
惡意SDK悄悄藏匿在手機軟體中,不僅讓用戶在使用過程中防不勝防,很多應用軟體的開發者甚至都未曾了解軟體導致的這些安全漏洞。
而惡意SDK無度索取個人信息、違規使用手機權限、「協助」黑產完成非法結算等行為,亟需整改和打擊,才能保護用戶的個人信息安全和財產安全。
在此,守哥呼籲各界攜手,一起行動起來,聯合打擊惡意SDK:
作為源頭的APP開發者,需要對SDK有著充分了解,從源頭上避免SDK通過APP過度索取用戶信息、為黑產「保駕護航」等行為。
1、APP應用開發者:
①APP應用開發者應遵循合理、必要和最小化原則選擇第三方SDK。對必須使用的SDK包加大審核力度,對第三方SDK進行全面的安全評估,特別警惕具有後臺雲控功能控制代碼的SDK;
②開發者應從自身角度履行責任,保障用戶的信息安全。在軟體開發過程中,需明確所開發APP對個人信息的採集與利用,個人信息存儲及保護制度,個人信息的處理制度,未成年信息保護制度等,切實保護用戶個人信息及隱私。
作為軟體分發平臺的應用市場,可以直接觸達到客戶,也需要充分發揮企業責任感。
2、應用市場:
①各級應用市場應加強管理,增強對惡意SDK的識別、檢測和防範能力。可參考一些應用分發平臺採用的「惡意行為檢測」+「隱私洩露檢查」+「安全漏洞掃描」+「人工實名復檢」四重檢測體系,以多樣安全審核措施保障上架應用的安全合規;
②應用市場應履行自身責任,在對APP進行檢測後,對合規、安全、穩定的APP進行標識,便於用戶在下載軟體過程中進行適當的選擇。而對於不合規的APP,應用市場應及時進行下架處理。
作為用戶,我們更應該從自己做起,保護個人隱私安全。
3、用戶:
①避免在非官方應用市場下載APP,不要通過掃描二維碼、點擊連結的方式下載軟體;
②下載軟體後要對其進行權限設置,在不影響使用的情況下儘量關閉應用內與「隱私相關」或與「資費相關」的權限;
③忌在非官方渠道填寫自己的銀行帳號及密碼等信息,填寫任何個人信息都要三思而後行,仔細核查平臺的合法性;
④如果遇見洩漏用戶隱私或者其他違規行為的APP,及時通過中國網際網路違法和不良信息舉報中心的網址www.12377.cn進行舉報。
文章來源: 守護者計劃,特此鳴謝!
(本文版權歸原作者,不代表本平臺立場,如有侵權請聯繫刪除)