梆梆资讯
梆梆安全 3•15 特别关注 | 破解 APP 成手机窃听器,梆梆安全保护您的软件!
2023-03-27
聚焦“用诚信之光照亮消费信心”主题,2023年的315晚会上,315 信息安全实验室技术人员实时监测了十余款应用软件的盗版版本,发现了不少安全隐患:一款视频 APP 的破解版,被额外嵌入了 3 款和官方版本毫不相关的第三方 SDK 软件包,APP 运行后,SDK 包就能在后台窃取用户上网的硬件地址、手机设备的识别号、电话卡的识别码、手机操作系统的识别码等关键识别信息。只要掌握其中 2-3 种信息,即使用户更换电话号码,也能精准锁定、实时捕捉和追踪用户动态,形成精准画像,从而推送大量广告,实现流量变现。
在技术发展与风险伴生之下,互联网时代的“云”上生活,虚实真假让人颇有迷幻之感。国际消费者权益日来临之际,梆梆安全推出“3•15 特别关注”系列报道,《梆梆安全 3•15 特别关注 | 谁偷了我的 “脸” ?》和《梆梆安全 3•15 特别关注 | 谁偷窥了我的隐私?》,助力消费者更好了解防护措施和应对策略。第三弹将从第三方 SDK 问题源头入手,带您深究隐私合规治理等安全问题。
盘点第三方SDK之“罪”应用开发的全生命周期都有“坑”
近年来,APP 个人信息违规采集问题频现,企业往往将 APP 个人信息安全问题聚焦在自身代码的开发层面,而忽视 APP 中集成的第三方 SDK 安全问题,殊不知正是提供便利的第三方 SDK 正在“背后插刀”,窃取和滥用个人隐私数据。
1. 盗版应用植入恶意 SDK
早年间盗版应用通过窃取用户账号密码从而造成用户资金损失,而今,盗版应用有目的地将恶意 SDK 植入应用,将黑手伸向应用隐私数据,从而推送广告。
2. 开发环节引入第三方恶意 SDK
目前几乎所有 APP 均不同程度地集成了第三方 SDK,而且这些第三方 SDK 在集成环节大多未经查验,导致恶意代码随 APP 发布而运行于用户手机。
3. 发布后第三方 SDK 动态更新恶意代码
部分 SDK 会采用 Android 操作系统的热更新机制,在集成环节伪装成正常SDK,逃避集成方的检查,而在应用发布后运行在用户手机时,通过热更新机制从SDK 的服务端动态加载恶意代码,窃取用户的隐私数据。
梆梆安全隐私合规治理之道 “普查、检测、管控、监测、监管”是重点
近年来,APP 个人信息违规采集问题频现,企业往往将 APP 个人信息安全问题聚焦在自身代码的开发层面,而忽视 APP 中集成的第三方 SDK 安全问题,殊不知正是提供便利的第三方 SDK 正在“背后插刀”,窃取和滥用个人隐私数据。
1. 盗版应用植入恶意 SDK
早年间盗版应用通过窃取用户账号密码从而造成用户资金损失,而今,盗版应用有目的地将恶意 SDK 植入应用,将黑手伸向应用隐私数据,从而推送广告。
2. 开发环节引入第三方恶意 SDK
目前几乎所有 APP 均不同程度地集成了第三方 SDK,而且这些第三方 SDK 在集成环节大多未经查验,导致恶意代码随 APP 发布而运行于用户手机。
3. 发布后第三方 SDK 动态更新恶意代码
部分 SDK 会采用 Android 操作系统的热更新机制,在集成环节伪装成正常SDK,逃避集成方的检查,而在应用发布后运行在用户手机时,通过热更新机制从SDK 的服务端动态加载恶意代码,窃取用户的隐私数据。
梆梆安全隐私合规治理之道“普查、检测、管控、监测、监管”是重点
作为移动应用安全的代表企业,梆梆安全紧跟国家战略,在个人隐私合规、隐私安全治理、移动应用安全研究、漏洞攻防等方面中均有重点投入研究,对于 APP 第三方 SDK 隐私数据窃取问题,已形成一套完整的隐私数据保护解决方案。
01 第三方 SDK “资产”普查
由于开发团队人员众多及历史版本迭代多等原因,目前许多 APP 开发者并不清楚自己的APP 中集成了多少第三方SDK。针对这种情况,梆梆安全可以为客户提供SDK 成分分析服务,帮助客户快速梳理第三方 SDK 类型、名称、代码路径等。
02
APP 发布前隐私数据采集检测
从静态和动态层面进行全方位检测,全面排查 APP 隐私数据采集行为,确保 APP 发布前不存在已知的隐私数据采集超范围问题。梆梆安全在 APP 检测方面,可通过应用安全检测平台及 APP 动态检测平台,为客户提供静态代码扫描及动态安全检测,及时发现在集成环节出现的 SDK 越权及超范围采集用户隐私数据问题。
03 APP 发布后 SDK 行为实时管控
由于 Android 热更新机制在使用层面不存在好坏之分,部分第三方 SDK 版本更新频繁,或存在一些后门开关,在集成环节并不触发恶意代码的下发,而是在用户安装在手机中之后悄悄进行热更新,在热更新过程中植入恶意代码。
针对应用发布后的 SDK 行为,基于多年的 APP 安全监测能力,梆梆安全通过移动威胁感知平台为客户提供第三方 SDK 行为监控,帮助客户及时发现第三方 SDK热更新、越权及超范围隐私数据数据采集、数据外发等行为,为客户提供 SDK 数据采集行为的实时管控和拦截,对于超范围采集信息的 SDK 进行及时阻断,防止用户隐私数据的外泄。
04 盗版/仿冒应用及时监测及下架
盗版/仿冒应用披着正常应用的外衣,实际使用过程中与正常应用几乎一样,让用户很难鉴别应用真伪,对于一些未经授权集成第三方恶意 SDK 的盗版/仿冒应用,开发者须采取相应措施,及时发现并进行下架,以免造成用户信息及资产的不明流失。
梆梆安全通过全球渠道监测平台,帮助用户 7*24 小时不间断监控全球应用市场,及时发现盗版/仿冒应用,通知用户并协助进行下架,降低盗版/仿冒应用带来的不良影响和损失。
05 持续加大移动应用的监管力度
随着《中华人民共和国反电信网络诈骗法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》等一系列信息安全法规落地执行,APP 个人信息保护问题的关注度越来越高,监管态势逐渐趋于常态化、强监管,媒体的监督与导向作用也在不断推动 APP 个人信息保护的规范化。
梆梆安全移动应用监管平台能够帮助监管及企业客户及时掌握 APP 资产的整体清单,同时进行病毒木马、个人隐私采集、境外数据传输、盗版仿冒、内容违规等方面的安全检测,帮助监管机构和企业客户处置安全风险。
截至目前,梆梆安全已为众多监管单位、研究机构和企业在个人信息保护及 APP 综合治理方面提供一站式产品及服务支撑,对于小程序、H5等系统或平台隐私合规的检测和监测技术也已全面覆盖。同时,梆梆安全技术专家围绕报告解读、法规解读、企业生态治理方案规划等为企业单位和监管机构提供全面的隐私安全合规治理保障。
随着数字化、智能化进程不断加快,移动应用已经渗透到人民生活的方方面面,黑灰产业也随之扩大,应用没有防护无异于“裸奔”。面向未来,梆梆安全勇担“保护您的软件”使命,始终以客户为中心,通过专业的安全产品和服务为政府、企业、开发者和消费者打造安全稳固可信的网络空间生态环境。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1