有外媒報道稱,應用程序分析公司Kochava發(fā)現(xiàn)8款安卓應用利用用戶權限進行廣告點擊欺詐,或已竊走數(shù)百萬美元收益。這其中7款應用來自獵豹移動。
Kochava指控:獵豹旗下的七款APP,包括獵豹清理大師、獵豹安全大師、獵豹鎖屏等全球流行應用,在監(jiān)控用戶的APP下載,當用戶下載之后,獵豹會把自己的廣告代碼傳遞給廣告商,以此來獲取廣告商的下載分成。
獵豹移動聲明:獵豹移動App的廣告變現(xiàn)收入主要來自第三方SDK,而非獵豹移動App自身的行為,獵豹移動與這些SDK的提供方并無任何控制關系,在技術上,這些SDK的運行也并不受獵豹移動的控制。
隨著事件的發(fā)酵,這場互撕大戰(zhàn)愈演愈烈。安全專家分析認為,報告如果屬實,這里面涉及三個角色:App(廣告呈現(xiàn)方,這里指獵豹移動)、ADSDK(廣告分發(fā)平臺,這里指提供SDK的廣告公司)、廣告客戶。其中,App和ADSDK是收費方,而廣告客戶是付費方,也就是說,兩個收費方都有推廣作弊的動機。
對此,愛加密資深安全顧問表示,不論是兩方誰在作弊,都是監(jiān)控到有新增應用后,偽造推廣鏈接給廣告商。
Ø 如果是App作弊:即集成了ADSDK應用廣告帶來的收入被其他方給攔截并篡改了,那說明這個ADSDK的業(yè)務邏輯被破解或業(yè)務邏輯被繞過。
套路: 用戶授權App高級權限,也就是獵豹APP在安裝時要求用戶同意的那些權限,這些權限會用來監(jiān)聽新應用的安裝和信息讀取,如電話本、地理位置等,絕大多數(shù)用戶會直接點擊同意。如果App(廣告呈現(xiàn)方)監(jiān)聽到新應用的下載或安裝后,偽造一個推廣鏈接發(fā)給ADSDK,于是此次下載分成就被App給搶走了。
建議:企業(yè)在開發(fā)階段即了解自身SDK存在的安全缺陷及風險,并對SDK進行加固,全方面提升SDK的安全防護能力,避免SDK被二次打包、被進程注入,防止核心業(yè)務被直接查看或逆向分析,進而保護自身的品牌形象。愛加密可為SDK提供整體安全加固,包括Jar和AAR文件的深度加密加殼、Jar和AAR文件內函數(shù)抽取加密及動態(tài)還原、Jar和AAR文件VMP加密技術、SO文件保護、防調試保護等,從根本上解決SDK的安全缺陷和風險,使加固后的SDK具備防逆向分析、防二次打包、防動態(tài)調試、防進程注入、防數(shù)據(jù)篡改等安全保護能力。
Ø 如果是ADSDK作弊:表明SDK本身暗藏作弊程序或遠程操控的后門,這里是指廣告廠商提供的SDK被別人破解了。
套路:ADSDK(廣告分發(fā)平臺)擁有高級權限,即監(jiān)聽新應用的安裝和信息讀取,當用戶安裝新的App后ADSDK讀取應用信息后偽造推廣鏈接請求發(fā)給廣告商。
建議:事前對SDK進行完整的安全性審計,檢查SDK中擁有哪些權限,并檢查這些權限哪些是必須的,非必須權限進行強制關閉等。 愛加密可為SDK提供完整的安全性審計方案,包括對SDK的基本信息檢測、數(shù)據(jù)安全檢測、代碼安全規(guī)范檢測、業(yè)務邏輯檢測,從SDK本身業(yè)務層解決此類風險。
不管此次獵豹移動“廣告點擊欺詐門”事件的罪魁禍首是不是SDK,SDK安全問題都已不容小覷,國內其他公司的SDK也不斷被爆出各種安全問題,包括一些大公司也未幸免。
伴隨手機應用的日益普及且與用戶財產的緊密聯(lián)系,移動應用開發(fā)者在一款APP中往往會調用多個第三方SDK。由于使用帶有惡意程序的第三方SDK造成用戶隱私信息泄露與財產損失的安全問題逐漸成為社會關注的新焦點,未來物聯(lián)網(wǎng)必將使用大量SDK,SDK的安全與否對于整個網(wǎng)絡環(huán)境至關重要。
Kochava指控:獵豹旗下的七款APP,包括獵豹清理大師、獵豹安全大師、獵豹鎖屏等全球流行應用,在監(jiān)控用戶的APP下載,當用戶下載之后,獵豹會把自己的廣告代碼傳遞給廣告商,以此來獲取廣告商的下載分成。
獵豹移動聲明:獵豹移動App的廣告變現(xiàn)收入主要來自第三方SDK,而非獵豹移動App自身的行為,獵豹移動與這些SDK的提供方并無任何控制關系,在技術上,這些SDK的運行也并不受獵豹移動的控制。
隨著事件的發(fā)酵,這場互撕大戰(zhàn)愈演愈烈。安全專家分析認為,報告如果屬實,這里面涉及三個角色:App(廣告呈現(xiàn)方,這里指獵豹移動)、ADSDK(廣告分發(fā)平臺,這里指提供SDK的廣告公司)、廣告客戶。其中,App和ADSDK是收費方,而廣告客戶是付費方,也就是說,兩個收費方都有推廣作弊的動機。
對此,愛加密資深安全顧問表示,不論是兩方誰在作弊,都是監(jiān)控到有新增應用后,偽造推廣鏈接給廣告商。
Ø 如果是App作弊:即集成了ADSDK應用廣告帶來的收入被其他方給攔截并篡改了,那說明這個ADSDK的業(yè)務邏輯被破解或業(yè)務邏輯被繞過。
套路: 用戶授權App高級權限,也就是獵豹APP在安裝時要求用戶同意的那些權限,這些權限會用來監(jiān)聽新應用的安裝和信息讀取,如電話本、地理位置等,絕大多數(shù)用戶會直接點擊同意。如果App(廣告呈現(xiàn)方)監(jiān)聽到新應用的下載或安裝后,偽造一個推廣鏈接發(fā)給ADSDK,于是此次下載分成就被App給搶走了。
建議:企業(yè)在開發(fā)階段即了解自身SDK存在的安全缺陷及風險,并對SDK進行加固,全方面提升SDK的安全防護能力,避免SDK被二次打包、被進程注入,防止核心業(yè)務被直接查看或逆向分析,進而保護自身的品牌形象。愛加密可為SDK提供整體安全加固,包括Jar和AAR文件的深度加密加殼、Jar和AAR文件內函數(shù)抽取加密及動態(tài)還原、Jar和AAR文件VMP加密技術、SO文件保護、防調試保護等,從根本上解決SDK的安全缺陷和風險,使加固后的SDK具備防逆向分析、防二次打包、防動態(tài)調試、防進程注入、防數(shù)據(jù)篡改等安全保護能力。
Ø 如果是ADSDK作弊:表明SDK本身暗藏作弊程序或遠程操控的后門,這里是指廣告廠商提供的SDK被別人破解了。
套路:ADSDK(廣告分發(fā)平臺)擁有高級權限,即監(jiān)聽新應用的安裝和信息讀取,當用戶安裝新的App后ADSDK讀取應用信息后偽造推廣鏈接請求發(fā)給廣告商。
建議:事前對SDK進行完整的安全性審計,檢查SDK中擁有哪些權限,并檢查這些權限哪些是必須的,非必須權限進行強制關閉等。 愛加密可為SDK提供完整的安全性審計方案,包括對SDK的基本信息檢測、數(shù)據(jù)安全檢測、代碼安全規(guī)范檢測、業(yè)務邏輯檢測,從SDK本身業(yè)務層解決此類風險。
不管此次獵豹移動“廣告點擊欺詐門”事件的罪魁禍首是不是SDK,SDK安全問題都已不容小覷,國內其他公司的SDK也不斷被爆出各種安全問題,包括一些大公司也未幸免。
伴隨手機應用的日益普及且與用戶財產的緊密聯(lián)系,移動應用開發(fā)者在一款APP中往往會調用多個第三方SDK。由于使用帶有惡意程序的第三方SDK造成用戶隱私信息泄露與財產損失的安全問題逐漸成為社會關注的新焦點,未來物聯(lián)網(wǎng)必將使用大量SDK,SDK的安全與否對于整個網(wǎng)絡環(huán)境至關重要。