南充热线主页 > 资讯 > 正文 >

警惕手机变手雷 360发布APP广告插件安全研究报告!

2020-11-28 04:28:50 来源:互联网 阅读:-
【摘要】10月24日,360互联网安全中心发布《2014年APP广告插件安全研究报告》,针对当前安卓平台1000款热门应用中,最流行的10款正规厂商广告插件进行了一次全面的安全性分析。

10月24日,360互联网安全中心发布《2014年APP广告插件安全研究报告》,针对当前安卓平台1000款热门应用中,最流行的10款正规厂商广告插件进行了一次全面的安全性分析。研究数据显示,十款APP广告插件均涉及收集用户隐私信息、滥用隐私权限的情况,此外,还存在消耗手机流量、躲避安全软件检测等多种不良行为。令人担忧的是,目前市场上主流正规广告插件均存在一定安全隐患,最严重的甚至会导致手机中毒。

警惕手机变手雷 360发布APP广告插件安全研究报告

图一:十款主流广告插件安全分析结果

目前,国内已经涌现出上百家移动广告平台,主要依靠在移动应用中集成广告插件,收取广告主的展示费来盈利。根据艾媒咨询《2013-2014年中国移动广告平台行业观察报告》数据显示,2014年中国移动广告平台市场整体规模将达到50.1亿元。市场规模不断扩大,但国内移动广告平台缺乏统一的行业标准,良莠不齐,给移动安全带来了一定的风险和隐患。

主流广告插件存在安全漏洞可致手机中毒

360互联网安全中心对十款主流广告插件分析发现,两种存在于主流广告插件中的安全漏洞比较严重,一种是动态加载校验漏洞,另一种是Javascript代码任意执行漏洞。在本次测评的10款广告插件中,共有3款插件存在安全漏洞,其中1款同时存在上述两种安全漏洞,另外2款存在动态加载校验漏洞。

警惕手机变手雷 360发布APP广告插件安全研究报告

图二:攻击者可利用广告插件安全漏洞窃取手机隐私数据

利用动态加载效验漏洞,攻击者可以构造特定的钓鱼网络(如恶意的WiFi热点)并诱使手机用户接入,随后,手机上有类此漏洞的广告插件就会自动联网到攻击者指定的服务器上进行更新,并自动下载安装攻击者设定的恶意更新包。

由于有此漏洞的广告插件是在后台静默联网、静默更新的,因此手机用户并不知情,也完全无法阻止这一攻击过程的发生。更为可怕的是,由于更新包的下载和安装过程是由广告插件自动完成的,并不需要攻击者进行干预,因此攻击者只要搭建好钓鱼网络,就可以等鱼上钩,并可批量的攻击多个用户。

而Javascript代码任意执行漏洞,是指广告插件接口中包含不对网页中的Javascript进行任何的约束、限制或安全性校验的函数。这种安全机制不高的接口仍可在Js引擎中成功注册,致使在一定条件下,攻击者利用恶意编写的Javascript代码通过该接口入侵用户手机。

利用此漏洞,攻击者甚至可以通过编写一段Javascript脚本,一边让用户观看广告,一边将用户的本地文件、通信录、短信、帐号等私密信息窃走。最为可怕的是,攻击者也可以利用此类漏洞让用户手机感染木马病毒。

十款广告插件均会收集用户敏感隐私信息

《报告》显示,在分析的10款广告插件中,有8款会收集用户的地理位置信息,7款会收集WiFi列表信息,4款收集安装应用列表信息,3款收集电话号码信息。所有广告插件均会全部收集用户的五类个人隐私信息:敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息和软件环境信息。

这也就意味着,手机用户的地理位置、手机号码、应用列表、手机联网方式以及硬件软件信息都会被插件厂商获取。这些信息可以让插件厂商向特定的应用推广广告,但同时,手机用户的手机使用习惯、什么时间去过什么地方等隐私信息也会泄露,不法分子完全可以将手机转换为追踪设备,可谓是触目惊心。

权限滥用普遍一款插件最多使用13项隐私权限

报告测试的10款广告插件共使用了26项权限,最多的一款使用了13项权限,平均每款插件使用了9.6项权限。100%的插件使用了读取电话状态的权限,70%的插件使用了获取用户地理位置的权限。20%的插件使用了拨打电话的权限,10%的插件使用了发送短信的权限。所以,在某种程度上说,目前市场上的所有主流广告插件,都存在隐私权限滥用的问题。

目前手机应用过度申请甚至是滥用权限的情况非常严重,开发者为了更多接受广告,往往将插件厂商建议的权限全部声明在应用中。而过度声明则会导致在某个应用出现安全漏洞时,广告插件获取的隐私权限都可以被攻击,导致手机用户的隐私被非法获取。

62%的流量费用或被广告插件所耗

强推广告、干扰用户和消耗流量是广告插件主要的不良行为。《报告》指出,某些广告插件除了会在应用中显示各种类型的广告外,还会通过私自添加浏览器标签,私自添加短信记录、私自创建快捷方式等方法来强制向用户推送广告。手机广告插件主要通过全系统插屏广告和频繁推送通知栏广告干扰用户。

警惕手机变手雷 360发布APP广告插件安全研究报告

图三:全系统插屏广告严重干扰手机用户正常使用

广告插件消耗用户流量分为两个方面,一是用户在下载带有广告插件的应用时,需要为广告插件消耗的流量买单,二是运行带有广告插件的应用时广告插件下载广告数据会消耗手机流量。

以一款手电筒应用为例,这款手电筒的安装文件大小约为2.9M;而将该应用中的所有广告插件都祛除后重新生成的文件仅为1.1M,二者相差了1.8M,有广告插件的手电筒程序是没有广告插件的手电筒程序的2.6倍。换个角度来看,就是当我们去应用商店下载这款手电筒程序,实际上约62%的流量都浪费在了广告插件上。

专家建议手机用户使用安全软件管理广告插件

360手机安全专家建议,应用程序要合理使用隐私权限,并注意保护手机用户的隐私数据。同时,手机用户尽量从安全可靠的应用市场如360手机助手、各软件官网等下载手机软件;安装软件时,注意观察软件权限,手机恶意广告插件多通过篡改正常软件来作恶,如一个连连看游戏,出现了发短信、访问相册等与应用不相关的敏感权限,就带有恶意性质了;最好安装360手机卫士等具有恶意广告拦截功能的手机安全软件对广告插件进行管理。

推荐阅读:吴忠网视