中文版 Global
首页 > 安全资讯 > 正文

手机APP有不安全的后门?第三方SDK需要一枚金钟罩

  • 2018-10-22 20:04:09

   近年来,移动设备在购物、出行以及消费等领域的应用极为广泛,其扩展速度和数量都极为惊人。也正因此,移动应用软件也渗透了人们生活的方方面面,用户可通过软件完成搜索、社交、支付等操作。

大量移动应用软件在设计开发阶段都采用了第三方SDK,其在加速产品成型的过程中,也引入了各式各样的安全问题。这也就意味着,一旦处于移动应用供应链上游环节的SDK失守,无数用户的网络安全便会遭到致命打击。对此,全球首个为移动应用提供全生命周期安全服务的产品三六零天御,重磅推出SDK加固,注入“360安全大脑”基因,为用户打造一把安全伞。

手机APP不安全?很有可能是SDK有问题!

   第三方SDK为广告、数据、社交网站、地图等第三方服务提供商所开发的工具包,不仅可提供专业服务,其中还封装了复杂的逻辑实现以及请求响应的过程,更利于开发人员使用。随着第三方SDK的推广和使用,其已成为Android 生态系统的重要组成部分。

    虽然,在应用开发过程中集成第三方SDK占据极大优势,但是第三方SDK也会对Android 用户的隐私和安全性产生威胁。再加上第三方SDK的开发者安全能力水平参差不齐,且众多第三方SDK开发者重功能而轻安全,致使第三方SDK极有可能存在安全漏洞。

    近两年,关于第三方SDK存在安全漏洞的新闻层出不穷,如FFmpeg、友盟SDK、ZipperDown等漏洞的爆发,由于其被广泛集成在大量的APP中,漏洞影响范围极大。以2017年12月爆出的友盟SDK漏洞为例,国内消息推送厂商友盟SDK被披露存在可越权调用未导出组件的漏洞,利用该漏洞便可实现对使用了友盟SDK的应用进行多种恶意攻击。据悉,友盟SDK漏洞共影响了七千多款多种类型的应用。

    除此之外,部分SDK开发者还会出于某种目的,在其开发的SDK中预留后门以便于收集用户信息或执行越权操作,不法分子能够利用后门对用户手机进行远程静默安装应用、静默添加联系人、获取用用户隐私信息等。

     当然了,第三方SDK漏洞远不止于此。部分恶意开发者甚至会渗入到SDK开发环节,以提供第三方服务的方式吸引其他应用开发者使用其SDK,借助这些合法应用来进行恶意广告行为和应用推广,从中牟取灰色收益。

背后有360安全大脑  天御推出SDK加固服务

    其实,目前很多SDK都没有很好的安全措施,存在威胁高中低级别不等的漏洞。三六零天御旗下加固保的SDK加固服务,可提供JAR文件和SO文件高强度保护,以及基于虚拟机指令的壳SO保护,与此同时,还有着专业的源代码保护、防非法调用、高兼容性、7*24h的安全支持服务等功能性特点,全方位守护移动时代。 

目前,三六零天御用户量已为全球第一,至今共服务移动应用80万+,每天保护10亿移动终端用户,应用场景覆盖政府、互联网、运营商、金融、游戏、教育、医疗等应用场景。未来,拥抱360安全大脑赋能的三六零天御还将蓄力促成多方联合,同手机厂商、应用开发者、应用市场、安全厂商、终端用户等移动应用生态链中的各主体通力合作,全面设防,打造Android应用供应链的安全生态。


360安全卫士

热点排行

用户
反馈 返回
顶部