猎豹遭遇“广告点击欺诈门” 罪魁祸首到底是不是SDK?

日前,有外媒报道称,应用程序分析公司Kochava发现8款安卓应用利用用户权限进行广告点击欺诈,或已窃走数百万美元收益。这其中7款应用来自猎豹移动。

Kochava指控:猎豹旗下的七款APP,包括猎豹清理大师、猎豹安全大师、猎豹锁屏等全球流行应用,在监控用户的APP下载,当用户下载之后,猎豹会把自己的广告代码传递给广告商,以此来获取广告商的下载分成。

猎豹移动声明:猎豹移动App的广告变现收入主要来自第三方SDK,而非猎豹移动App自身的行为,猎豹移动与这些SDK的提供方并无任何控制关系,在技术上,这些SDK的运行也并不受猎豹移动的控制。

随着事件的发酵,这场互撕大战愈演愈烈。安全专家分析认为,报告如果属实,这里面涉及三个角色:App(广告呈现方,这里指猎豹移动)、ADSDK(广告分发平台,这里指提供SDK的广告公司)、广告客户。其中,App和ADSDK是收费方,而广告客户是付费方,也就是说,两个收费方都有推广作弊的动机。

对此,爱加密资深安全顾问表示,不论是两方谁在作弊,都是监控到有新增应用后,伪造推广链接给广告商。

  • 如果是App作弊:即集成了ADSDK应用广告带来的收入被其他方给拦截并篡改了,那说明这个ADSDK的业务逻辑被破解或业务逻辑被绕过。

套路: 用户授权App高级权限,也就是猎豹APP在安装时要求用户同意的那些权限,这些权限会用来监听新应用的安装和信息读取,如电话本、地理位置等,绝大多数用户会直接点击同意。如果App(广告呈现方)监听到新应用的下载或安装后,伪造一个推广链接发给ADSDK,于是此次下载分成就被App给抢走了。

建议:企业在开发阶段即了解自身SDK存在的安全缺陷及风险,并对SDK进行加固,全方面提升SDK的安全防护能力,避免SDK被二次打包、被进程注入,防止核心业务被直接查看或逆向分析,进而保护自身的品牌形象。爱加密可为SDK提供整体安全加固,包括Jar和AAR文件的深度加密加壳、Jar和AAR文件内函数抽取加密及动态还原、Jar和AAR文件VMP加密技术、SO文件保护、防调试保护等,从根本上解决SDK的安全缺陷和风险,使加固后的SDK具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力。

  • 如果是ADSDK作弊:表明SDK本身暗藏作弊程序或远程操控的后门,这里是指广告厂商提供的SDK被别人破解了。

套路:ADSDK(广告分发平台)拥有高级权限,即监听新应用的安装和信息读取,当用户安装新的App后ADSDK读取应用信息后伪造推广链接请求发给广告商。

建议:事前对SDK进行完整的安全性审计,检查SDK中拥有哪些权限,并检查这些权限哪些是必须的,非必须权限进行强制关闭等。 爱加密可为SDK提供完整的安全性审计方案,包括对SDK的基本信息检测、数据安全检测、代码安全规范检测、业务逻辑检测,从SDK本身业务层解决此类风险。

不管此次猎豹移动“广告点击欺诈门”事件的罪魁祸首是不是SDKSDK安全问题都已不容小觑,国内其他公司的SDK也不断被爆出各种安全问题,包括一些大公司也未幸免。

2015年11月,美国一家安全公司称,百度开发的SDK 开发包工具名为“Moplus”存有安全漏洞,给黑客留下了后门,黑客可以在安卓手机上上传恶意程序,并且执行程序。这一漏洞可能给全球一亿部安卓手机带来安全风险。据报道,这个出现问题的SDK 开发包工具名在共计1.4万个手机App软件中被使用,其中的四千个由百度公司参加开发。

2017年9月,360信息安全部的Vulpecker安全团队发现了阿里巴巴旗下国内消息推送厂商友盟的SDK存在可越权调用未导出组件的漏洞,并利用该漏洞实现了对使用了友盟SDK的APP任意组件的恶意调用、任意虚假消息通知、远程代码执行等攻击测试。在360显危镜后台数据库中,根据该含有漏洞版本的SDK特征值查询确认,发现约有3万多APP受此漏洞影响。

伴随手机应用的日益普及且与用户财产的紧密联系,移动应用开发者在一款APP中往往会调用多个第三方SDK。由于使用带有恶意程序的第三方SDK造成用户隐私信息泄露与财产损失的安全问题逐渐成为社会关注的新焦点,未来物联网必将使用大量SDK,SDK的安全与否对于整个网络环境至关重要。