與此同時(shí),第三方SDK也會對手機(jī)用戶的隱私和安全性產(chǎn)生威脅。許多研究證實(shí),一些第三方SDK存在隱私泄露問題。據(jù)The Hacker News報(bào)道，Taomike(中國最大的移動(dòng)廣告提供商)和百度提供的第三方SDK都曾被曝出存在安全漏洞,這兩個(gè)軟件秘密監(jiān)視用戶,將敏感信息上傳到遠(yuǎn)程服務(wù)器,并在用戶的設(shè)備上開啟后門。然而,這些 SDK已經(jīng)集成到眾多手機(jī)應(yīng)用中。

除了侵犯用戶隱私以外,有些第三方SDK還會采取不安全的實(shí)現(xiàn)方式,增加其宿主應(yīng)用程序的攻擊面,從而對用戶安全造成威脅。甚至是Facebook 和Dropbox這種信譽(yù)良好的軟件公司的SDK也被發(fā)現(xiàn)存在嚴(yán)重的安全漏洞。這些漏洞帶來的攻擊包括:將敏感數(shù)據(jù)泄露到公開可讀的數(shù)據(jù)源、代碼注入攻擊、帳戶劫持、將受害者設(shè)備連接到攻擊者控制的Dropbox帳戶等。

Ma K, Guo SQ，分析驗(yàn)證了第三方SDK（https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088）中存在多個(gè)漏洞,他們將其分為 6 種類型，并給出了給出了對分析結(jié)果的總結(jié)：

同時(shí)列舉了并描述一些易受攻擊的 SDK 的示例：

1:濫用HTTP

雖然使用 HTTP 協(xié)議進(jìn)行網(wǎng)絡(luò)連接已被認(rèn)為是不安全的,但是我們發(fā)現(xiàn)許多第三方 SDK 仍然使用此通道 與遠(yuǎn)程服務(wù)器進(jìn)行通信。更糟糕的是,一些重要數(shù)據(jù)還通過 HTTP 通道以明文或密文的形式傳輸,如IMEI(Int’l mobile equipment identity)。

2:濫用SSL/TLS

HTTPS(SSL/TLS 上的 HTTP)只有在恰當(dāng)?shù)膶?shí)現(xiàn)和配置下才會使通信信道安全。要想建立安全的 SSL/TLS 連接,客戶端必須檢查證書鏈和主機(jī)名是否有效。如果主機(jī)名與服務(wù)器的域名匹配,則該主機(jī)名有效。如果證書鏈符合以下要求,則被認(rèn)為有效:(1) 鏈中的每個(gè)證書都沒有過期或撤銷;(2) 根證書由 CA 在客戶端的密鑰庫中發(fā)起;(3) 在多于 1 個(gè)證書的情況下,每個(gè)證書必須在放入鏈中后立即由 CA 簽名。Lu L, Li Z, Wu Z, Lee W, Jiang G系統(tǒng)地研究了不正確的SSL/TLS證書驗(yàn)證過程所帶來的威脅。通過分析,發(fā)現(xiàn)這些威脅在第三方SDK中也很常見。

3:濫用敏感權(quán)限

通常情況下,Android 應(yīng)用程序會請求比所需要的更多的權(quán)限。它們使用額外的權(quán)限來窺探用戶的隱私信息,甚至植入惡意背景的插件。分析顯示,16個(gè)SDK有上述惡意行為。當(dāng)應(yīng)用程序開發(fā)人員將第三方SDK加入到應(yīng)用程序中時(shí),會將某些權(quán)限、組件、數(shù)據(jù)等信息添加到 manifest 文件中。

Umeng 是一個(gè)推送消息 SDK,可以請求用來發(fā)送 SMS、讀取SMS和接收SMS的權(quán)限。在對其他推送消息SDK分析之后,我們認(rèn)為這些權(quán)限對于核心功能來說并不是必要的。

另外,第三方SDK可以與主機(jī)應(yīng)用程序共享manifest文件中的權(quán)限,也就是說,即使 SDK 在開發(fā)文檔中沒 有聲明需要某些權(quán)限,如果 manifest 文件聲明,那么它也可以使用這些權(quán)限。這些 SDK 利用代碼來檢查宿主應(yīng)用程序是否請求了某個(gè)權(quán)限(執(zhí)行此檢查的代碼示例如圖1所示)。

圖1.Android 應(yīng)用中的權(quán)限檢查

4:身份識別

推送消息 SDK是第三方SDK中的一個(gè)比較常見的類型,它能夠幫助移動(dòng)應(yīng)用程序開發(fā)商向在用戶設(shè)備上運(yùn)行的 APP 傳遞消息和通知。推送消息SDK的結(jié)構(gòu)如圖2所示。找到這個(gè)服務(wù)的結(jié)構(gòu)并不困難,但是因?yàn)樵摲?wù)需要協(xié)調(diào)開發(fā)人員與應(yīng)用之間的交互,這使得它容易出錯(cuò)。

圖2.推送服務(wù)的架構(gòu)

由 Google提供的Google Cloud Messaging(GCM)SDK 被許多應(yīng)用程序訂閱,包括 Facebook、Oracle、Skype 等,它的運(yùn)行機(jī)制類似于 Apple Push Notification Service。據(jù)報(bào)道,一些網(wǎng)絡(luò)犯罪分子使用 GCM 來控制惡意軟件。除了Google和蘋果之外,還有許多其他第三方推送消息服務(wù)提供商都為應(yīng)用程序開發(fā)人員提SDK。

Android 日志系統(tǒng)為開發(fā)人員提供了記錄應(yīng)用程序和設(shè)備運(yùn)行狀態(tài)的接口。日志消息被寫入設(shè)備的內(nèi)部存 儲中。開發(fā)人員通常使用 android、util、log打印調(diào)試信息。但是,如果他們在應(yīng)用上線前未關(guān)閉日志,則會成為安全風(fēng)險(xiǎn)。在開發(fā)中,開發(fā)人員通常使用 debug 屬性，該代碼確定是否輸出日志(如圖3所示),這使得很容易修改調(diào)試屬性。

圖3.AndroidManifest.xml 中的有關(guān)Log的屬性

在 Android 4.1版本之前,具有 READ_LOGS 權(quán)限的 Android 應(yīng)用程序能夠讀取設(shè)備上所有應(yīng)用程序的日志文件。因此,將敏感數(shù)據(jù)寫入日志會導(dǎo)致敏感數(shù)據(jù)泄露。在分析中發(fā)現(xiàn) mapbar SDK(專業(yè)的電子地圖提供商)會將個(gè)人身份信息,如 IMEI 通過日志進(jìn)行記錄。在分析的129個(gè)第三方SDK中,有 12 個(gè)包含此漏洞。

5.應(yīng)用程序開發(fā)人員的失誤

(1) uid 誤用

一些社交平臺如 Facebook、Twitter、新浪微博等提供了 SDK 用于第三方登錄,這可以幫助用戶快速完成登錄或注冊過程,無需為當(dāng)前訪問的應(yīng)用程序注冊新帳戶。這些SDK使用 OAuth 2.0協(xié)議對用戶的賬戶進(jìn)行身份驗(yàn)證。如果用戶通過認(rèn)證,SDK 的服務(wù)器將返回訪問令牌和 uid(用戶在該平臺上的唯一標(biāo)識)到當(dāng)前應(yīng)用程序的服務(wù)器。之后,應(yīng)用程序可以使用訪問令牌和 uid訪問用戶授權(quán)的資源。然而,一些應(yīng)用程序開發(fā)人員只使用 uid 作為用戶的憑證,在這種情況下,攻擊者可以攔截 uid,并將其篡改為指定 uid 進(jìn)行登錄。

(2) 使用不安全的API

當(dāng)?shù)谌絊DK在 WebView 中使用 JavaScriptInterface 時(shí),遠(yuǎn)程 Web頁面可以通過這個(gè)接口執(zhí)行本地命令。

當(dāng) WebView 顯示頁面時(shí),會在JavaScript代碼中調(diào)用本地代碼。遠(yuǎn)程網(wǎng)頁可以利用反射機(jī)制來執(zhí)行自己的命令。（如圖4所示）

圖 4. JavaScript 代碼執(zhí)行本地命令

2021年以來，國家陸續(xù)出臺了《個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)安全法》等律法建立了健全的隱私保護(hù)制度，保護(hù)大數(shù)據(jù)時(shí)代下的個(gè)人信息安全與隱私（https://www.ipdatacloud.com/?utm-source=LJ&utm-keyword=?1088）。對于每個(gè)用戶來講，我們很難判斷哪些軟件是安全的，因此我們應(yīng)謹(jǐn)慎開放軟件權(quán)限，有意識的保護(hù)自己的隱私。而作為 SDK服務(wù)商，更要遵守國家法律，從根源做起，絕不寫入惡意功能。