手機中暗藏的魔鬼,養料是你的個人信息

发布日期:2019-07-30 20:48
今天要給大家分享一個新型黑產,它是在手機裡暗度陳倉、 鳩占鵲巢、猖狂的魔鬼,以吞噬手機裡的個人信息為生。
我們都知道在網上下載安裝來路不明的app,手機是有可能中毒變“肉雞”的。
隨著手機應用市場的技術升級,黑產團伙也覺得開發山寨盜版app的成本太高,難度越來越大,因此想出了新的辦法。
這是一個可以在用戶毫不知情的情況下,讓手機變成“肉雞”,給黑產“免費打工”、送人頭的新型黑產——惡意SDK。
什麼是SDK
SDK全稱是SoftwareDevelopment Kit,也就是“軟件開發工具包”。
有部分app開發者為了降低成本、提高效率,會將app中的某個功能交給第三方去開發。
最後第三方會將這個功能封裝成SDK工具包,給到app開發者。
我們可以把SDK理解為一種組裝模塊。例如一部手機,芯片是高通的,屏幕是三星的,攝像頭是索尼的,而SDK就相當於手機上的攝像頭、屏幕或者芯片。
還是有點難懂?再來一個例子。
我們把app開發者類比成廚師,廚師在做一道“佛跳牆”名菜,那麼做菜所使用的醬油、糖、醋等調味料相當於“佛跳牆”的SDK。
因為這些都是直接從隔壁商店購買的,而不是廚師自己做的,畢竟自己釀造醬油、醋之類的太麻煩了。
這樣一來,不僅省事兒方便,這道菜的價格也會更平民一些。
中國智能手機用戶數量位居全球第一,對手機app也有著強盛的需求,從而造就了中國相當繁榮的移動應用軟件市場。
與此同時,為app提供SDK的第三方服務供應商也應運而生。
最常見的SDK類型主要有這幾種:
  • 推送類
  • 第三方登錄分享類
  • 支付類
  • 廣告類
  • 數據統計分析類
App開發者在成本、時間的限制下,需要快馬加鞭上線產品,使用第三方SDK已經是相當普遍的現象
畢竟並不是每個手機廠商都有自己造屏幕的能力,或者說每個廚師都懂得怎麼釀造醬油。
惡意SDK的三大安全問題
然而問題又來了,第三方SDK開發一般側重完善功能,往往在安全性方面投入不夠,這導致第三方SDK存在一些安全問題。
就像做煮菜烹飪的廚師更重視食材的新鮮、烹飪的方法,卻會忽略醬油、醋可能會存在問題。
按照小編的梳理,非法惡意的SDK主要存在以下三種安全問題:
  • 違規收集用戶個人信息
  • 借助合法APP進行惡意操作
  • 自身存在未知安全漏洞
1. 違規收集用戶個人信息
這一類SDK堪稱入室大盜,它能夠收集個人信息標識、位置信息、設備信息、用戶偏好、聯繫人等手機裡的重要信息
黑產會通過SDK,將這些信息偷偷上傳到遠程服務器上。
更加讓人無語的是,有些SDK在竊取信息後,是通過明文上傳到服務器的,甚至有些服務器架設在海外。
被收集的個人信息可能會用於所謂的“精準營銷”,也有可能被黑產團伙用於買賣、撞庫。
這種竊取用戶信息的行為,可以說是毫無底線。

2. 借助合法APP進行惡意操作
這類借助合法APP進行惡意操作的SDK,做著暗度陳倉、鳩占鵲巢的事情。
它們藉助合法應用的外殼,從而逃避一些應用市場和安全廠商的檢測。
當合法應用被下載安裝後,這些惡意SDK就會利用後門,將用戶的手機變成“肉雞”,進而在手機上獲取用戶隱私信息、悄悄添加聯繫人、悄悄遠程安裝app,為所欲為。
去年4 月,有一個名為“寄生推”的惡意SDK,它會通過後門遠程開啟惡意功能,ROOT用戶設備,接著植入惡意模塊,在用戶手機上進行惡意的廣告和應用推廣。
當時“寄生推”SDK殃及300 款知名的app,潛在影響用戶超過2000萬。
這種借殼把手機變“肉雞”的惡意SDK,用猖狂來形容也不為過。

3.自身存在未知安全漏洞
近年來,不少知名SDK被爆存在安全漏洞,雖然這些SDK並沒有惡意行為,但那些漏洞足以讓黑產團伙用來對app、用戶進行惡意攻擊。
某種程度而言,缺乏安全審核環節、自身存在各種漏洞的SDK,被應用到各類app 上,也是一種作惡。這種情況實在令人堪憂。
惡意SDK的兩大危害
惡意SDK可以開後門竊取用戶數據,甚至把用戶的智能手機變成為app 拉活、廣告刷量的“肉雞”。
其危害主要有兩點:
1. 影響範圍廣,對公民信息危害嚴重
當前,惡意開發者更多地從直接開發App應用轉向開發SDK,向安卓應用供應鏈的上游轉移。
通過提供惡意的SDK 給應用開發者,惡意開發者可以復用這些應用的分發渠道,從而擴大影響用戶的範圍。
因此,惡意SDK非法採集公民個人信息,可以理解為是從“源頭”施加的危害,相比個別APP侵犯公民信息,其影響力顯然更加巨大。
2. 隱蔽性強
惡意SDK隱藏在合法app的背後,在悄悄作案時,可以做到讓普通用戶無法察覺,因此具有實施危害的隱蔽性。
總的來說,這些惡意SDK的行為,不僅在侵犯公民個人信息、侵犯廣大網民的公共利益,也在嚴重傷害互聯網行業的良好生態。
法律分析
根據《中華人民共和國網絡安全法》:
第二十二條規定,網絡產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意
第四十二條規定,未經被收集者同意,網絡運營者不得向他人提供個人信息,經過處理無法識別特定個人且不能複原的除外。
另外,根據《中華人民共和國刑法》的有關規定,非法收集公民個人信息、開設後門下載非法APP等行為,可能根據行為特徵分別涉及:侵犯公民個人信息罪以及非法獲取計算信息系統數據、非法控制計算機信息系統等計算機犯罪
但是此類犯罪行為手法非常隱蔽,往往隱藏在app的表象之下,用戶往往難以發覺,偵查機關發現和打擊案件難度較大。
而且就目前而言,相關法律法規有待完善,仍有部分SDK處於違反法律和監管的擦邊球地帶。
惡意SDK 可防
手機上所使用的app越來越多,惡意app已經讓人頭疼,那些潛藏在app背後的惡意SDK著實是防不勝防。
對於黑產團伙而言,各類app的用戶是隱私信息的源頭。而我們這些用戶卻又是信息洩露的最終受害者。
為了防止惡意SDK,app開發者應該在集成第三方SDK時提高警惕,避免使用有云控能力的SDK,同時及時對app採用加固等安全防護措施。
分享到: