半岛网站SDK安全监测报告我们应该如何加强防范《中华人民共和国网络安全法》第十二条明文规定,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害、荣誉和利益,煽动颠覆国家政权、,煽动国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
截止当前,爱加密移动应用安全大数据平台持续监控境内境外SDK分发平台如:GitHub、MVN REPOSITORY、 Bitbucket、asonatype等半岛网站,收录SDK共计2万+款。有351万+款移动应用嵌入了SDK。下图为嵌入量较高的前10款SDK:(SDK是「 Software Development Kit 」的缩写,即「软件开发工具包」,它是协助软件开发的相关二进制文件、文档、范例和工具的集合,简称 SDK 。)
从SDK类型来看,框架类SDK最多,占SDK总量的40.37%,位居第一;其次是实时音视频类SDK,占应用总量的9.16%,位居第二;广告类SDK数量占总量的8.05%,位居第三。下图为排名top10的SDK分类分布情况:
从区域来看,北京市SDK数量位居第一半岛平台,占总量的27.94%;其次是广东省,占总量的23.95%;江苏省位列第三,占总量的21.36%。以下是SDK地域分布TOP10:
通过对SDK的开发者进行分析发现,发布SDK最多的是华为软件技术有限公司;其次是深圳市腾讯计算机系统有限公司;排名第三的是北京百度网讯科技有限公司。以下是SDK开发者TOP10排行情况:
爱加密移动应用安全大数据平台利用安全检测引擎,对SDK进行107项漏洞扫描发现,93.48%以上的SDK存在高危漏洞风险。存在各等级风险漏洞情况如下:
已完成检测的SDK中,存在的Java代码反编译风险数量最多,占检测总数的24.44%;其次是H5文件泄露风险,占检测总数的23.86%;排在第三位的是数据库注入漏洞,占检测总数的23.75%。详情如下:
从SDK类型来看,存在高危漏洞风险的框架类SDK数量占高危SDK总量的70.78%,位居第一;安全风控类SDK数量占比为6.68%半岛网站,位列第二;位列第三的是推送类SDK,占比为6.05%。SDK若存在高危漏洞较多,一旦受到攻击极易导致用户隐私泄露或直接财产损失半岛平台,需进一步关注其安全加固和数据保护状况,避免因不当收集和使用数据或遭受网络攻击对社会公众及企业自身带来影响。
目前收录的SDK,大多数使用http传输信息,导致SDK之间能够通过通讯相互窃取信息;SDK 在本地存储的数据,也有很多没有加密,同一个App 接入的 SDK 都有直接访问权限,存在信息泄露的风险。通过爱加密移动应用安全大数据平台检测发现,未采取技术安全保护措施的SDK占总量的58.05%。
爱加密对部分SDK的权限申请进行了检测,从检测结果来看,申请“写入外部存储”的SDK数量最多,占比71.44%;其次是“读取外部存储”的SDK占比69.02%,位列第二;位列第三的是“读写系统设置”的SDK,占比为53.40%。
从已检测的App中发现部分SDK存在异常行为以及展示异常的内容半岛平台。如SDK分别被主流App和小众App嵌入,在用户使用时,SDK在小众App中有读取手机应用列表行为,而在主流App中,SDK没有这种行为产生;同样,在主流App中展示的广告很正常,但是在小众App中存在部分擦边球的广告。
从SDK的敏感行为来进行分析,在已检测的SDK中,有87.41%的SDK有敏感行为半岛平台半岛平台官网。其中,最多的是“打开文件读取流”,占比为64.88%;排名第二的是“打开文件写入流”,占比为58.45%;排名第三的是“创建目录”,占比为54.58%。详情如下:
爱加密检测到有部分SDK关联境外IP或者域名,数据流向多个国家和地区。具体来看,排名第一的目的地是美国,占比58.33%;排名第二的是新加坡和中国香港半岛平台官网,占比33.33%。
近年来总计通报SDK 33款半岛平台官网,爱加密针对通报的SDK进行了个人信息违规类型统计,结果显示,45.45%的SDK存在“收集个人信息明示、告知不到位”的情况;39.39%的SDK存在“SDK违规收集个人信息”的情况。具体违规详情如下:
近期爱加密研究人员在某插件市场官网排查违法SDK,通过加入SDK详情页面留下的QQ交流群半岛平台官网,跟卖家交流售卖的SDK功能,了解到此SDK主要功能为私自获取位置定位、音视频、相册、通讯录联系人及手机号、短信和通话记录上传服务器。此SDK为付费SDK,随后以购买SDK为由向卖家获取SDK的demo。
1、爱加密技术人员对嵌入此SDK的App进行研究,首先下载App打开后会自动弹出所需要位置信息、通话记录、存储空间、短信的权限,如果点击“取消”会一直重复此请求权限,只有点击确定才会进入主页面。
2半岛网站、通过对App在两台手机上测试功能,随即安装在真机环境和模拟器环境中,真机环境:事先准备好相册照片半岛平台官网、通讯录半岛平台、通话记录、打开App并同意获取权限后联系卖家是否获取到信息,随后卖家发来获取到信息的截图。
经过发来的位置定位截图发现相差距离较小,该App确实有获取位置信息的功能,位置信息在打开App权限时瞬间传到服务器。
卖家发过来短信截图,我们发现截图里面的短信内容信息跟真机里面的短信内容相同,短信的时间也是相同的。
图三为手机线.模拟器上面进行测试:App通过安装在模拟器上运行,允许获取到位置信息、通讯录半岛平台官网、短信、通话记录、存储空间权限等,打开网络流量抓包工具对App的网络传输数据进行截取半岛平台官网,通过抓包发现App把位置信息、相册视频、通讯记录、通讯录、短信等信息传输到服务器。
对违法SDK 和嵌入违法SDK的demo App进行深度检测后,发现其违背了《中华人民共和国网络安全法》第十二条,存在违规获取个人信息的安全风险。
SDK广泛应用在移动互联网应用设计的开发阶段。SDK 通过 App 这一载体渗透到用户日常生产和生活的方方面面,但在提升 App 运营开发者效率和用户体验时,存在自身安全漏洞、隐瞒收集个人信息等安全风险。且SDK分发不规范,应用开发者在接入SDK时缺乏安全意识,并未对SDK进行安全检测及风险评估。
1半岛平台、督促SDK分发平台建立完善SDK上架审核工作机制,严格落实对新上架的SDK功能的测试和审核管理,杜绝不良SDK在分发平台售卖。
2、加强对SDK开发者身份审核,对开发者上传的信息进行核实。事前审核SDK开发者上传信息并核实登记;事中通过人工巡查、动态监测等方式半岛平台,及时发现违规使用;事后对识别出的不良SDK进行证据固定和合理处置。
3、公开明示SDK名称、开发者半岛平台、版本号、主要功能、使用说明等基本信息,以及个人信息处理规则。
2023年2月工信部也印发通知,部署进一步提升移动互联网应用服务能力。共提出 26 条措施,其中多条涉及到 SDK 监管。要求落实 App 开发运营者主体责任:加强软件开发工具(SDK)使用管理。使用 SDK 前对其进行个人信息保护能力评估,通过合同等形式明确约定各方权利和义务,确保个人信息处理依法合规。集中展示并及时更新嵌入的 SDK 名称、功能及其处理个人信息的规则。共同处理用户个人信息半岛平台官网,侵害用户权益造成损害的,依法承担相应责任。
2、引入SDK前应做安全检测和风险评估,详细阅读了解SDK的隐私政策,并利用SDK demo以及App测试环境对SDK声明进行比对内容是否一致。
做到下载使用应用,要选择安全可靠的应用下载渠道,不安装不明来路的应用,不盲目点击同意敏感的权限使用,不轻易接收安装来自微信半岛平台、QQ等社交媒体的应用,不轻易点击短信中的链接,尽量使用常用的知名的应用。在使用应用中若发现SDK申请个人隐私相关的敏感权限时半岛平台官网,特别是与应用功能无关的权限,需要保持警惕。
13988888888