卡巴斯基：數百萬流行的手機APP正通過第三方SDK泄露用戶數據

「用指尖改變世界」

當我們使用官方應用程序商店並下載評價良好的流行應用程序時，我們會認為它們是很安全的。通常來講，這的確是一個正確的意識。類似這樣的應用程序在被開發時，它的開發人員都會對安全性進行考慮，並且應用商店的安全團隊也會在它被上傳時進行審查。

不過，來自卡巴斯基實驗室的安全研究員Roman Unuchek在最近用他的研究結果告訴我們，這種意識似乎只有部分是正確的。即使是來自官方應用商店，下載評價良好，且已經十分流行的應用程序同樣存在潛在的安全問題。

Unuchek在本周二發表的一篇博文中表示，大約有400萬款流行的移動應用程序是不可靠的，因為它們的開發人員使用了不安全的第三方軟體開發工具包（SDK），這導致用戶數據以未加密的形式泄露。可能被泄露的數據包括姓名、性別、年齡、收入、電子郵件地址、設備信息、GPS數據、通話記錄以及簡訊和電話號碼等敏感信息。

這些第三方SDK通常是被免費提供的，允許應用程序開發人員在應用程序開發過程中直接實現一些現有的功能，進而節省開發時間，使得他們能夠將更多的精力投向其他更重要的元素。但是，這種「便捷」意味著開發人員不太可能會去深究所使用的第三方代碼的所有細節，進而使得代碼中存在的一些潛在的安全問題有很大可能不會被發現。

對於Unuchek用於分析的幾款流行社交應用程序，它們的開發者都使用了第三方SDK。每個應用程序至少包含40個不同的模塊，它們構成了這些應用程序的一大部分。其中至少有75％的Dalvik位元組碼位於第三方模塊中，在其中一款應用程序中，第三方代碼的比例竟然高達90％。

另一方面，這些第三方SDK都會內置廣告開發工具包。這對於免費應用程序的開發人員來說至關重要，因為如果沒有廣告，開發人員將難以獲得收入來對應用程序進行改進和維護。

開發人員可以通過第三方SDK內置的廣告開發工具包調用由廣告提供商提供的API，這個API則會從廣告提供商那裡獲取廣告，並在應用程序的適當位置進行展示。當有用戶點擊這些廣告時，應用程序的開發人員便能夠從廣告提供商那裡獲得一定比例的推廣提成。

另一個事實是，這些廣告開發工具通常都會收集關鍵用戶信息，用以幫助廣告提供商展示更具針對性的廣告。而問題就出在這裡，如果這些信息的收集和傳輸過程並沒有得到很好的保護，那麼用戶的敏感信息便會因此而遭到泄露。

根據Unuchek的描述，在他用於分析的應用程序中，部分應用程序仍在通過HTTP傳輸未加密的用戶數據。這些數據可能會因為未受保護的Wi-Fi網路、互聯網服務提供商或家用路由器上的惡意軟體而遭到攻擊者的攔截和修改。

從2016年下半年開始，越來越多的應用程序開始從HTTP切換到HTTPS，因為後者更安全。截至到2018年1月，63％的應用程序已經開始使用HTTPS。但事實上，它們其中大多數（幾乎90%）也仍然同時在使用HTTP，並且許多應用程序都在傳輸未加密的敏感數據。

Unuchek決定通過搜索兩個最流行的HTTP請求——GET和POST來找出有哪些應用程序和SDK存在泄露用戶數據的問題。他所的到的結果如下：

應用程序通過GET請求泄露數據的四個最受歡迎的廣告網路域名（包含在SDK中）包括mopub.com（至少有五款擁有超過1億次的下載量），rayjump.com（其中兩款的安裝量超過5億，七款的安裝量超過1億，另外還有許多安裝量超過數百萬的應用程序），tappas.net （七款安裝量超過1千萬）和appsgeyser.com（根據其網頁顯示的信息，有超過600款應用程序使用了它，安裝量接近20億，近2000億條廣告被展示）。

應用程序通過POST請求泄露數據的四個最受歡迎的廣告網路域名包括ushareit.com（其中一款在Google Play商店擁有超過5億次的安裝量），Lenovo（由於開發人員錯誤而泄露用戶數據），Nexage.com（有大量的應用程序使用它，其中一款安裝量超過5億，另有七款安裝量超過1億）和Quantumgraph.com（在Google Play商店有兩款安裝量超過1千萬，另有七個款安裝量超過1百萬）。

就如文章開頭提到的那樣，在大多數情況下，這些SDK會泄露設備信息（屏幕解析度、存儲容量、音量、電池電量、操作系統版本、IMEI、IMSI和語言），網路信息（操作員名稱、IP地址、連接類型、信號強度、 MAC），設備坐標，Android ID，應用程序使用情況以及用戶名、年齡和性別等個人信息。另外，電話號碼和電子郵件地址也可能遭到泄露。

出於安全等因素的考慮，卡巴斯基實驗室的研究團隊並沒有將這些SDK背後的廣告提供商及應用程序的名稱進行公布。他們只是建議開發人員應停止使用HTTP，並為前端開啟301重定向到HTTPS。另外，開發人員還應加密數據，始終使用最新版本的SDK，並在發布前檢查應用程序的網路通信。

對於最終用戶來說，研究人員建議用戶需要檢查每個應用程序請求的許可權，並僅授予應用程序功能所需的許可權。另外，還應該使用VPN，這將加密設備和外部伺服器之間的網路流量。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！