随着移动互联网的快速发展,手机App的功能复杂程度和版本更新速度不断提升。基于对手机App及其接入的第三方SDK(软件开发工具包)的分析和研究,近日,安天移动安全从SDK给应用开发者和App用户可能带来的安全风险和权益问题的角度,对SDK行为安全性现状作出专项报告解读。
(图源网络)
焦点1:第三方SDK使用情况如何?
报告显示,应用开发者为了提高应用的迭代速度、降低开发成本以及提供更加丰富的业务功能,除了自主开发App的相关功能代码,还会接入由第三方开发的功能代码模块,从而快速接入和实现某类业务功能。
(图源网络)
目前,常见的第三方开发的功能代码模块类型有广告SDK、支付SDK、消息推送SDK、用户行为统计SDK等。
应用开发者往往和第三方SDK开发者签订某种开发接入的协议约定,获取到接入的SDK开发工具包,通过接入demo(样稿)示例和开发文档,以调用通过相关API(应用程序接口)的方式获取SDK提供的功能和服务。
实际应用中,SDK的使用场景会更为多样化。除了SDK提供者提供开发工具包供应用开发者接入的形式外,还包括SDK提供者提供URL(统一资源定位系统)请求API、非Java(计算机编程语言)实现的SDK代码模块,以及可供应用开发者内嵌至其URL请求API中的外链地址或脚本等形式。
焦点2:国内主流SDK提供者有哪些?
从国内主流的SDK提供者来看,主要可以划分为3种类型——
综合性的SDK提供者:
旗下会开发多款SDK产品,用于向应用开发者提供多样性的SDK功能。例如,极光、个推、友盟等SDK提供者。
特定品类SDK提供者:
SDK主要针对特定品类应用提供其所必须的某种功能,旗下SDK产品的类型较为单一。例如,数盟、数美主要提供安全风控类的SDK。
手机终端厂商:
手机终端厂商会基于系统功能特性为应用开发者提供更为便利的SDK功能服务,既降低应用在特定手机终端系统上功能开发的成本,也能够有效利用系统提供的多样化功能服务,为应用实现更多功能。
焦点3:手机App接入SDK需注意哪些问题?
集成第三方SDK的优势显而易见:首先,应用程序可以获得专业公司在各个领域提供的高质量资源;
其次,如果应用程序将类似PayPal(在线支付服务商)的第三方SDK包含在内,它就可以执行像付款这样复杂的功能。尤其是对于小型的开发团队,这些SDK有助于提高应用的开发效率。
另外,广告平台这种第三方SDK,还可以帮助应用程序的开发者获得收益。
在这个过程中,应用开发者(通常以中小开发者为主)往往难以全面评估接入SDK的安全性,以及SDK的全部运行行为。如果第三方SDK存在某些恶意或风险的代码、行为,则会被引入到App中,给应用开发者和App用户带来不可估量的安全风险和权益问题。
多项研究也证实,一些第三方SDK存在隐私泄露问题。除了侵犯用户隐私以外,有些第三方SDK还会采取不安全的实现方式,增加其宿主应用程序的攻击面,从而对用户安全造成威胁。甚至是一些信誉较好软件公司的SDK,也被发现存在严重的安全漏洞。
这些漏洞带来的攻击包括:将敏感数据泄露到公开可读的数据源,代码注入攻击、账户劫持,将受害者设备连接到攻击者控制的Dropbox(一款免费网络文件同步工具)账户等。
有业内人士表示,当应用程序开发人员将第三方SDK加入到应用程序中时,会将某些权限、组件、数据等信息添加到manifest(一种软件,可以运行任何应用程序的代码)文件中。而第三方SDK可以与主机应用程序共享manifest文件中的权限。
换言之,即使SDK在开发文档中没有声明需要某些权限,如果manifest文件作了声明,那么SDK也可以使用这些权限……
监制:张宁 策划:李政葳 制作:姚坤森
