手機中暗藏的魔鬼,養料是你的個人信息

发布日期:2019-07-30 20:48
今天要給大家分享一個新型黑產,它是在手機裡暗度陳倉、 鳩占鵲巢、猖狂的魔鬼,以吞噬手機裡的個人信息為生。
我們都知道在網上下載安裝來路不明的app,手機是有可能中毒變“肉雞”的。
隨著手機應用市場的技術升級,黑產團伙也覺得開發山寨盜版app的成本太高,難度越來越大,因此想出了新的辦法。
這是一個可以在用戶毫不知情的情況下,讓手機變成“肉雞”,給黑產“免費打工”、送人頭的新型黑產——惡意SDK。
什麼是SDK
SDK全稱是SoftwareDevelopment Kit,也就是“軟件開發工具包”。
有部分app開發者為了降低成本、提高效率,會將app中的某個功能交給第三方去開發。
最後第三方會將這個功能封裝成SDK工具包,給到app開發者。
我們可以把SDK理解為一種組裝模塊。例如一部手機,芯片是高通的,屏幕是三星的,攝像頭是索尼的,而SDK就相當於手機上的攝像頭、屏幕或者芯片。
還是有點難懂?再來一個例子。
我們把app開發者類比成廚師,廚師在做一道“佛跳牆”名菜,那麼做菜所使用的醬油、糖、醋等調味料相當於“佛跳牆”的SDK。
因為這些都是直接從隔壁商店購買的,而不是廚師自己做的,畢竟自己釀造醬油、醋之類的太麻煩了。
這樣一來,不僅省事兒方便,這道菜的價格也會更平民一些。
中國智能手機用戶數量位居全球第一,對手機app也有著強盛的需求,從而造就了中國相當繁榮的移動應用軟件市場。
與此同時,為app提供SDK的第三方服務供應商也應運而生。
最常見的SDK類型主要有這幾種:
  • 推送類
  • 第三方登錄分享類
  • 支付類
  • 廣告類
  • 數據統計分析類
App開發者在成本、時間的限制下,需要快馬加鞭上線產品,使用第三方SDK已經是相當普遍的現象
畢竟並不是每個手機廠商都有自己造屏幕的能力,或者說每個廚師都懂得怎麼釀造醬油。
惡意SDK的三大安全問題
然而問題又來了,第三方SDK開發一般側重完善功能,往往在安全性方面投入不夠,這導致第三方SDK存在一些安全問題。
就像做煮菜烹飪的廚師更重視食材的新鮮、烹飪的方法,卻會忽略醬油、醋可能會存在問題。
按照小編的梳理,非法惡意的SDK主要存在以下三種安全問題:
  • 違規收集用戶個人信息
  • 借助合法APP進行惡意操作
  • 自身存在未知安全漏洞
1. 違規收集用戶個人信息
這一類SDK堪稱入室大盜,它能夠收集個人信息標識、位置信息、設備信息、用戶偏好、聯繫人等手機裡的重要信息
黑產會通過SDK,將這些信息偷偷上傳到遠程服務器上。
更加讓人無語的是,有些SDK在竊取信息後,是通過明文上傳到服務器的,甚至有些服務器架設在海外。
被收集的個人信息可能會用於所謂的“精準營銷”,也有可能被黑產團伙用於買賣、撞庫。
這種竊取用戶信息的行為,可以說是毫無底線。

2. 借助合法APP進行惡意操作
這類借助合法APP進行惡意操作的SDK,做著暗度陳倉、鳩占鵲巢的事情。
它們藉助合法應用的外殼,從而逃避一些應用市場和安全廠商的檢測。
當合法應用被下載安裝後,這些惡意SDK就會利用後門,將用戶的手機變成“肉雞”,進而在手機上獲取用戶隱私信息、悄悄添加聯繫人、悄悄遠程安裝app,為所欲為。
去年4 月,有一個名為“寄生推”的惡意SDK,它會通過後門遠程開啟惡意功能,ROOT用戶設備,接著植入惡意模塊,在用戶手機上進行惡意的廣告和應用推廣。
當時“寄生推”SDK殃及300 款知名的app,潛在影響用戶超過2000萬。
這種借殼把手機變“肉雞”的惡意SDK,用猖狂來形容也不為過。

3.自身存在未知安全漏洞
近年來,不少知名SDK被爆存在安全漏洞,雖然這些SDK並沒有惡意行為,但那些漏洞足以讓黑產團伙用來對app、用戶進行惡意攻擊。
某種程度而言,缺乏安全審核環節、自身存在各種漏洞的SDK,被應用到各類app 上,也是一種作惡。這種情況實在令人堪憂。
惡意SDK的兩大危害
惡意SDK可以開後門竊取用戶數據,甚至把用戶的智能手機變成為app 拉活、廣告刷量的“肉雞”。
其危害主要有兩點:
1. 影響範圍廣,對公民信息危害嚴重
當前,惡意開發者更多地從直接開發App應用轉向開發SDK,向安卓應用供應鏈的上游轉移。
通過提供惡意的SDK 給應用開發者,惡意開發者可以復用這些應用的分發渠道,從而擴大影響用戶的範圍。
因此,惡意SDK非法採集公民個人信息,可以理解為是從“源頭”施加的危害,相比個別APP侵犯公民信息,其影響力顯然更加巨大。
2. 隱蔽性強
惡意SDK隱藏在合法app的背後,在悄悄作案時,可以做到讓普通用戶無法察覺,因此具有實施危害的隱蔽性。
總的來說,這些惡意SDK的行為,不僅在侵犯公民個人信息、侵犯廣大網民的公共利益,也在嚴重傷害互聯網行業的良好生態。
法律分析
根據《中華人民共和國網絡安全法》:
第二十二條規定,網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意
第四十二條規定,未經被收集者同意,網絡運營者不得向他人提供個人信息,經過處理無法識別特定個人且不能複原的除外。
另外,根據《中華人民共和國刑法》的有關規定,非法收集公民個人信息、開設後門下載非法APP等行為,可能根據行為特徵分別涉及:侵犯公民個人信息罪以及非法獲取計算信息系統數據、非法控制計算機信息系統等計算機犯罪
但是此類犯罪行為手法非常隱蔽,往往隱藏在app的表象之下,用戶往往難以發覺,偵查機關發現和打擊案件難度較大。
而且就目前而言,相關法律法規有待完善,仍有部分SDK處於違反法律和監管的擦邊球地帶。
惡意SDK 可防
手機上所使用的app越來越多,惡意app已經讓人頭疼,那些潛藏在app背後的惡意SDK著實是防不勝防。
對於黑產團伙而言,各類app的用戶是隱私信息的源頭。而我們這些用戶卻又是信息洩露的最終受害者。
為了防止惡意SDK,app開發者應該在集成第三方SDK時提高警惕,避免使用有云控能力的SDK,同時及時對app採用加固等安全防護措施。
分享到:
Please Login to comment
没有评论
384cf397d90d03c61d7c6f2466fc4d97
gamer-vlog
  • 1575363884837
    “殺豬盤”還在作惡,“殺魚盤”又...

    聽過殺豬盤的你可知道還有“殺魚盤”嗎?注意啦泉州公安發布緊急提醒當心殺魚盤!!!泉州公安針對“殺魚盤”騙局通過微信公眾號發布了警方提醒。


  • .png
    山寨“抖音”,刷寶app有多猛?
  • 1575283686155
    菲總統發言人:欠稅網賭公司運營者...

    菲律賓總統發言人班尼洛周日警告,如果網絡博彩公司未能履行對政府的稅收義務,則可能麵臨停業及其運營者的入獄命運。班尼洛在電台采訪中說,他相信中國會理解菲律賓政府對網絡博彩公司加大稅收征管力度。


  • 1575283459838
    葡京賣淫案”主犯何猷倫被改判8年...

    葡京沙圈案」2016年3月17日由初級法院審理宣判後,檢察院和案中三名嫌犯均不服判決提出上訴。中級法院上周四(11月28日)裁定檢察院上訴理由成立,其他嫌犯就敗訴,案中共六名嫌犯的刑罰相應調整,原被判一年一個月徒刑的首被告何猷倫改判八年徒刑。


  • 1575283337016
    菲執法官員呼籲恢複對大毒販實施死...

    在上周二晚在馬加智市檢獲大約370 公斤高純度沙霧並拘捕了一名中國人之後,菲國警、菲緝毒署和毒品委員會的高級官員前天再次大力支持恢複對大毒販和在菲國製造毒品者實施死刑。


  • 1575283052846
    中國與東盟國家今年合作緝返各類嫌...

    今年以來,中國與東盟國家合作緝捕遣返各類嫌疑人3000餘名,中柬執法合作年開創地區執法合作典範,“平安航道”聯合掃毒、湄公河聯合巡邏執法等行動持續開展。


  • 1575282827725
    6名詐騙嫌犯由印尼押返成都 “秘...

    6名犯罪嫌疑人係警方通過連續工作、在印度尼西亞詐騙窩點抓獲的。6人涉嫌冒充公檢法實施詐騙,涉案金額達300餘萬元。而警方在進入窩點實施抓捕時,詐騙窩點遍布攝像頭,門窗被緊緊鎖上,“幾乎照不進陽光”。


  • 1575282383983
    韓國爛賭女歌手Shoo首度親自回...

    韓國爛賭女歌手Shoo近日接受韓媒訪問,首度親自響應賭博事件,她坦言現在對賭博和麵對其他人都感到害怕。