投稿
  1. 展天联盟首页
  2. 网赚项目

送人头的新型黑产——恶意SDK

zxw168 网赚项目

今天要给大家分享一个新型黑产,它是在手机里暗度陈仓、 鸠占鹊巢、猖狂的魔鬼,以吞噬手机里的个人信息为生。我们都知道在网上下载安装来路不明的app,手机是有可能中毒变“肉鸡”的。

随着手机应用市场的技术升级,黑产团伙也觉得开发山寨盗版app的成本太高,难度越来越大,因此想出了新的办法。

这是一个可以在用户毫不知情的情况下,让手机变成“肉鸡”,给黑产“免费打工”、送人头的新型黑产——恶意SDK。

什么是SDK:SDK全称是SoftwareDevelopment Kit,也就是“软件开发工具包”。有部分app开发者为了降低成本、提高效率,会将app中的某个功能交给第三方去开发。最后第三方会将这个功能封装成SDK工具包,给到app开发者。我们可以把SDK理解为一种组装模块。例如一部手机,芯片是高通的,屏幕是三星的,摄像头是索尼的,而SDK就相当于手机上的摄像头、屏幕或者芯片。

还是有点难懂?再来一个例子。

我们把app开发者类比成厨师,厨师在做一道“佛跳墙”名菜,那么做菜所使用的酱油、糖、醋等调味料相当于“佛跳墙”的SDK。因为这些都是直接从隔壁商店购买的,而不是厨师自己做的,毕竟自己酿造酱油、醋之类的太麻烦了。这样一来,不仅省事儿方便,这道菜的价格也会更平民一些。

中国智能手机用户数量位居全球第一,对手机app也有着强盛的需求,从而造就了中国相当繁荣的移动应用软件市场。与此同时,为app提供SDK的第三方服务供应商也应运而生。

最常见的SDK类型主要有这几种:推送类、第三方登录分享类、支付类、广告类、数据统计分析类。

App开发者在成本、时间的限制下,需要快马加鞭上线产品,使用第三方SDK已经是相当普遍的现象。毕竟并不是每个手机厂商都有自己造屏幕的能力,或者说每个厨师都懂得怎么酿造酱油。

恶意SDK的三大安全问题

然而问题又来了,第三方SDK开发一般侧重完善功能,往往在安全性方面投入不够,这导致第三方SDK存在一些安全问题。就像做煮菜烹饪的厨师更重视食材的新鲜、烹饪的方法,却会忽略酱油、醋可能会存在问题。

按照我们的梳理,非法恶意的SDK主要存在以下三种安全问题:违规收集用户个人信息;借助合法APP进行恶意操作;自身存在未知安全漏洞

1. 违规收集用户个人信息

这一类 SDK 堪称入室大盗,它能够收集个人信息标识、位置信息、设备信息、用户偏好、联系人等手机里的重要信息。

黑产会通过SDK,将这些信息偷偷上传到远程服务器上。更加让人无语的是,有些SDK在窃取信息后,是通过明文上传到服务器的,甚至有些服务器架设在海外。被收集的个人信息可能会用于所谓的“精准营销”,也有可能被黑产团伙用于买卖、撞库。这种窃取用户信息的行为,可以说是毫无底线。

2. 借助合法APP进行恶意操作

这类借助合法APP进行恶意操作的SDK,做着暗度陈仓、鸠占鹊巢的事情。它们借助合法应用的外壳,从而逃避一些应用市场和安全厂商的检测。当合法应用被下载安装后,这些恶意SDK就会利用后门,将用户的手机变成“肉鸡”,进而在手机上获取用户隐私信息、悄悄添加联系人、悄悄远程安装app,为所欲为。

去年 4 月,腾讯安全反诈骗实验室就曾捕获一个名为“寄生推”的恶意SDK。它会通过后门远程开启恶意功能,ROOT用户设备,接着植入恶意模块,在用户手机上进行恶意的广告和应用推广。

当时“寄生推”SDK殃及300 款知名的app,潜在影响用户超过2000万。这种借壳把手机变“肉鸡”的恶意SDK,用猖狂来形容也不为过。

3.自身存在未知安全漏洞

近年来,不少知名SDK被爆存在安全漏洞,虽然这些SDK并没有恶意行为,但那些漏洞足以让黑产团伙用来对app、用户进行恶意攻击。

某种程度而言,缺乏安全审核环节、自身存在各种漏洞的SDK,被应用到各类app 上,也是一种作恶。这种情况实在令人堪忧。

恶意SDK的两大危害

恶意SDK可以开后门窃取用户数据,甚至把用户的智能手机变成为app 拉活、广告刷量的“肉鸡”。

其危害主要有两点:

1. 影响范围广,对公民信息危害严重

当前,恶意开发者更多地从直接开发App应用转向开发SDK,向安卓应用供应链的上游转移。通过提供恶意的 SDK 给应用开发者,恶意开发者可以复用这些应用的分发渠道,从而扩大影响用户的范围。因此,恶意 SDK 非法采集公民个人信息,可以理解为是从“源头”施加的危害,相比个别 APP 侵犯公民信息,其影响力显然更加巨大。 

2. 隐蔽性强

恶意SDK隐藏在合法app的背后,在悄悄作案时,可以做到让普通用户无法察觉,因此具有实施危害的隐蔽性。

总的来说,这些恶意SDK的行为,不仅在侵犯公民个人信息、侵犯广大网民的公共利益,也在严重伤害互联网行业的良好生态。

法律分析

根据《中华人民共和国网络安全法》:

第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意

第四十二条规定,未经被收集者同意,网络运营者不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外。

另外,根据《中华人民共和国刑法》的有关规定,非法收集公民个人信息、开设后门下载非法APP等行为,可能根据行为特征分别涉及:侵犯公民个人信息罪以及非法获取计算信息系统数据、非法控制计算机信息系统等计算机犯罪。

但是此类犯罪行为手法非常隐蔽,往往隐藏在app的表象之下,用户往往难以发觉,侦查机关发现和打击案件难度较大。而且就目前而言,相关法律法规有待完善,仍有部分SDK处于违反法律和监管的擦边球地带。

恶意 SDK 可防

手机上所使用的app越来越多,恶意app已经让人头疼,那些潜藏在app背后的恶意SDK着实是防不胜防。对于黑产团伙而言,各类app的用户是隐私信息的源头。而我们这些用户却又是信息泄露的最终受害者。为了防止恶意SDK,app开发者应该在集成第三方SDK时提高警惕,避免使用有云控能力的 SDK。

对于普通用户,我们有这几个建议:

1、从正规的渠道下载软件:尽量选择在官方渠道下载应用,尤其是银行、支付、理财类的app

2、下载正规软件:避免下载安装来历不明的山寨 app

3、注意软件的权限:谨慎授予读取位置信息、通讯录、读取短信等权限

4、注意清理手机内个人资料

5、安装安全软件:官方渠道下载安装安全软件

本文链接:https://www.zhantian9.com/17047.html

(0)
zxw168zxw168管理员
0 0
上一篇 2020-11-20 05:46:53
下一篇 2020-11-20 06:06:53

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2000000@qq.com 举报,一经查实,本站将立刻删除。