freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

脱缰恶意SDK奴役千万用户手机做“肉鸡”
2019-04-28 17:38:16

又双叒叕一个SDK犯事儿了,1000+应用开发者、数千万用户中招,在毫无感知的情况下给黑产“免费”打工——狂刷广告曝光量和点击量,巨额广告费被黑产恶意赚取!

SDK,大名 Software Development Kit,中文名“软件开发工具包”。越来越多的App开发者在通过集成第三方SDK进行快速开发,实现诸如地图、支付、广告、推送等增值功能。在数字化转型大时代下的今天,包括金融在内的更多产业也在开始通过外发SDK实现自身业务的跨行业融合与扩展。在可以预期的未来,SDK这个组件所爆发出来的能量将极为可观。

黑产抢捞SDK第一桶金

绝对“与时俱进”的黑客、黑产也在加速开拓SDK欺诈“商机”,近两年来,由于恶意SDK所引发的安全事件在被越来越多地暴露出来。当产业界在积极谨慎地探索如何借助SDK实现业务拓展的时候,黑产却抢先一步尝到了SDK欺诈的甜头,通过恶意SDK控制“肉鸡”躲避反作弊检测,更为轻松地薅到了大量广告商羊毛。

黑客们发现,搞个山寨盗版App玩欺诈还是有些麻烦,而SDK这个组件就好操作很多了。

恶意SDK欺诈三步曲

先做个正规的SDK门脸,一本正经地为开发者提供如壁纸、手电筒等增值功能。

等App正式发布上线被用户使用后,对SDK使用热更新技术,植入恶意代码进行变身。

狂欢时刻开始:控制用户手机做“肉鸡”,暗刷广告薅羊毛!

1.png

瞧,用SDK玩欺诈简单又轻松,薅起羊毛来实在是乐翻天!

对于未受保护的SDK,恶意攻击者还可以对SDK进行逆向,获取分析SDK源代码发现业务逻辑漏洞,实施业务漏洞攻击。或者通过动态调试对SDK运行时的内存数据进行读写、修改操作,亦或通过非法手段绕过SDK校验规则对其非法调用,以及通过注入攻击对SDK注入恶意代码篡改业务逻辑、窃取敏感数据。

麻雀虽小五脏俱全

梆梆安全专家研究发现,SDK虽然小,安全破绽却不少。大量被开发者集成的第三方SDK,往往会存在暗藏恶意代码/后门程序风险、窃取用户数据风险以及安全漏洞威胁。2018年“某推”SDK就是通过预留后门,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广。2019年更有恶意第三方SDK通过数据窃取组件来收集用户个人信息,进而非法牟利。

而企业外发的SDK,则往往可能存在代码被逆向的风险、被非法调试/攻击的风险、被非法盗用的风险以及暴露出安全漏洞的风险。2015年就曾有第三方SDK被爆存在后门漏洞,利用该SDK开发的应用能够在设备上开启HTTP服务器,且此服务器不需任何认证,攻击者可以轻易利用这一后门侵入用户的Android移动设备。某推送类第三方SDK则曾被发现存在可越权调用未导出组件的漏洞,利用该漏洞可以实现对使用了该SDK的App任意组件的恶意调用、任意虚假消息的通知及远程代码执行等攻击测试。

悉心呵护SDK“健康”可以这样办

SDK这种封装形式很好,有力地支撑了数字经济,可安全问题竟然这么多,咋办?梆梆安全专家提示,SDK安全这件事儿,你可以这样办:

01第三方SDK安全管控的前后法则

对于第三方SDK的安全防护,需要分别做好集成前的权限检测、风险检测,集成后的敏感行为监控、敏感信息拦截工作。

集成第三方SDK的企业基本无法对该类SDK的开发过程进行安全管控,无法确定所集成第三方SDK的安全性,所以企业需要在集成前对第三方SDK进行全面的安全检测。通过自动化安全测评可以快速发现App所集成第三方SDK存在的安全风险及权限使用情况。

由于第三方SDK可以在运行过程中动态更新代码,通过手机权限窃取用户信息,所以企业需要对集成后的第三方SDK进行实时动态监测,例如通过移动威胁感知平台类产品实现对第三方SDK的权限监测、危险阻断,甚至通过策略配置来阻止某些第三方SDK的非授权行为。

02外发SDK安全管控四步走

对于外发类SDK的安全管控,需要在设计与开发阶段、安全测试阶段、SDK发布阶段、SDK运维阶段做好相应的安全防护动作。

首先帮助SDK开发项目人员制定安全开发需求,协助开发人员完成功能的安全设计规范以及开发人员安全开发、测试人员安全测试。检查合规性问题,对开发流程进行安全管控。

然后对SDK进行加固、源码混淆、通信传输加密、密钥保护等安全防护,防止针对SDK的攻击和破解,降低因为核心算法、密钥、后台API接口、业务逻辑等重要内容泄露和被利用导致的安全事件。

另外还要针对需集成调用的SDK进行登记管理,登记应用包名、签名信息,在SDK的调用过程中验证宿主App的包名、签名信息,防止被非授权App调用。

最后则要通过移动威胁感知平台类产品在外发SDK中加入感知探针,监测外发SDK自身遭受的安全威胁及恶意攻击,监测外发SDK宿主应用的安全状态,监测外发SDK运行环境的安全状态,监测外发SDK的运行数据及崩溃情况。实现对SDK相关安全事件的预警、监控和阻断。


无论是第三方SDK还是外发SDK,其在数字时代下所能发挥的作用必然会越来越大。黑客、黑产对SDK的威胁其实不可怕,只要认真做好每一项安全保护动作,就能切实保障SDK能力的正常发挥。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者