查看原文
其他

手机中暗藏的魔鬼,养料是你的个人信息

鹅师傅 腾讯安全战略研究 2022-05-19


大家好,我是鹅师傅。


今天要给大家分享一个新型黑产,它是在手机里暗度陈仓、 鸠占鹊巢、猖狂的魔鬼,以吞噬手机里的个人信息为生。


我们都知道在网上下载安装来路不明的app,手机是有可能中毒变“肉鸡”的。


随着手机应用市场的技术升级,黑产团伙也觉得开发山寨盗版app的成本太高,难度越来越大,因此想出了新的办法。


这是一个可以在用户毫不知情的情况下,让手机变成“肉鸡”,给黑产“免费打工”、送人头的新型黑产——恶意SDK。




什么是SDK




SDK全称是SoftwareDevelopment Kit,也就是“软件开发工具包”。


有部分app开发者为了降低成本、提高效率,会将app中的某个功能交给第三方去开发。


最后第三方会将这个功能封装成SDK工具包,给到app开发者。


我们可以把SDK理解为一种组装模块。例如一部手机,芯片是高通的,屏幕是三星的,摄像头是索尼的,而SDK就相当于手机上的摄像头、屏幕或者芯片。


还是有点难懂?再来一个例子。


我们把app开发者类比成厨师,厨师在做一道“佛跳墙”名菜,那么做菜所使用的酱油、糖、醋等调味料相当于“佛跳墙”的SDK。


因为这些都是直接从隔壁商店购买的,而不是厨师自己做的,毕竟自己酿造酱油、醋之类的太麻烦了。


这样一来,不仅省事儿方便,这道菜的价格也会更平民一些。


中国智能手机用户数量位居全球第一,对手机app也有着强盛的需求,从而造就了中国相当繁荣的移动应用软件市场。


与此同时,为app提供SDK的第三方服务供应商也应运而生。


最常见的SDK类型主要有这几种:


  • 推送类

  • 第三方登录分享类

  • 支付类

  • 广告类

  • 数据统计分析类


App开发者在成本、时间的限制下,需要快马加鞭上线产品,使用第三方SDK已经是相当普遍的现象


毕竟并不是每个手机厂商都有自己造屏幕的能力,或者说每个厨师都懂得怎么酿造酱油。




恶意SDK的三大安全问题


然而问题又来了,第三方SDK开发一般侧重完善功能,往往在安全性方面投入不够,这导致第三方SDK存在一些安全问题。


就像做煮菜烹饪的厨师更重视食材的新鲜、烹饪的方法,却会忽略酱油、醋可能会存在问题。


按照鹅师傅和小伙伴们的梳理,非法恶意的SDK主要存在以下三种安全问题:


  • 违规收集用户个人信息

  • 借助合法APP进行恶意操作

  • 自身存在未知安全漏洞


1. 违规收集用户个人信息


这一类 SDK 堪称入室大盗,它能够收集个人信息标识、位置信息、设备信息、用户偏好、联系人等手机里的重要信息


黑产会通过SDK,将这些信息偷偷上传到远程服务器上。


更加让人无语的是,有些SDK在窃取信息后,是通过明文上传到服务器的,甚至有些服务器架设在海外。


被收集的个人信息可能会用于所谓的“精准营销”,也有可能被黑产团伙用于买卖、撞库。



这种窃取用户信息的行为,可以说是毫无底线。


2. 借助合法APP进行恶意操作


这类借助合法APP进行恶意操作的SDK,做着暗度陈仓、鸠占鹊巢的事情。


它们借助合法应用的外壳,从而逃避一些应用市场和安全厂商的检测。



当合法应用被下载安装后,这些恶意SDK就会利用后门,将用户的手机变成“肉鸡”,进而在手机上获取用户隐私信息、悄悄添加联系人、悄悄远程安装app,为所欲为。


去年 4 月,鹅师傅的小伙伴腾讯安全反诈骗实验室就曾捕获一个名为“寄生推”的恶意SDK。它会通过后门远程开启恶意功能,ROOT用户设备,接着植入恶意模块,在用户手机上进行恶意的广告和应用推广。


当时“寄生推”SDK殃及300 款知名的app,潜在影响用户超过2000万。


这种借壳把手机变“肉鸡”的恶意SDK,用猖狂来形容也不为过。


3.自身存在未知安全漏洞


近年来,不少知名SDK被爆存在安全漏洞,虽然这些SDK并没有恶意行为,但那些漏洞足以让黑产团伙用来对app、用户进行恶意攻击。


某种程度而言,缺乏安全审核环节、自身存在各种漏洞的SDK,被应用到各类app 上,也是一种作恶。这种情况实在令人堪忧。




恶意SDK的两大危害


恶意SDK可以开后门窃取用户数据,甚至把用户的智能手机变成为app 拉活、广告刷量的“肉鸡”。


其危害主要有两点:


1. 影响范围广,对公民信息危害严重


当前,恶意开发者更多地从直接开发App应用转向开发SDK,向安卓应用供应链的上游转移。


通过提供恶意的 SDK 给应用开发者,恶意开发者可以复用这些应用的分发渠道,从而扩大影响用户的范围。


因此,恶意 SDK 非法采集公民个人信息,可以理解为是从“源头”施加的危害,相比个别 APP 侵犯公民信息,其影响力显然更加巨大。 


2. 隐蔽性强


恶意SDK隐藏在合法app的背后,在悄悄作案时,可以做到让普通用户无法察觉,因此具有实施危害的隐蔽性。


总的来说,这些恶意SDK的行为,不仅在侵犯公民个人信息、侵犯广大网民的公共利益,也在严重伤害互联网行业的良好生态。





法律分析


根据《中华人民共和国网络安全法》:


第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意


第四十二条规定,未经被收集者同意,网络运营者不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外。


另外,根据《中华人民共和国刑法》的有关规定,非法收集公民个人信息、开设后门下载非法APP等行为,可能根据行为特征分别涉及:侵犯公民个人信息罪以及非法获取计算信息系统数据、非法控制计算机信息系统等计算机犯罪

 

但是此类犯罪行为手法非常隐蔽,往往隐藏在app的表象之下,用户往往难以发觉,侦查机关发现和打击案件难度较大。


而且就目前而言,相关法律法规有待完善,仍有部分SDK处于违反法律和监管的擦边球地带。




恶意 SDK 可防


手机上所使用的app越来越多,恶意app已经让人头疼,那些潜藏在app背后的恶意SDK着实是防不胜防。


对于黑产团伙而言,各类app的用户是隐私信息的源头。而我们这些用户却又是信息泄露的最终受害者。


为了防止恶意SDK,app开发者应该在集成第三方SDK时提高警惕,避免使用有云控能力的 SDK。


对于普通用户,鹅师傅有这几个建议:


  1. 从正规的渠道下载软件:尽量选择在官方渠道下载应用,尤其是银行、支付、理财类的app

  2. 下载正规软件:避免下载安装来历不明的山寨 app

  3. 软件的权限:谨慎授予读取位置信息、通讯录、读取短信等权限

  4. 注意清理手机内个人资料

  5. 装安全软件:官方渠道下载安装腾讯手机管家等安全软件





  往期回顾  






不让手机变肉鸡,点它分享

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存