恶意SDK潜伏知名App作恶：用户手机成傀儡机，业内呼吁监管

Original 李玲隐私护卫队 2020-09-23

你应该知道SDK是什么，它是集成在App里的软件开发包，可以理解为手机的组装模块。SDK不是“洪水猛兽”，但可能“作恶”，成为别人操控你手机的“幕后黑手”。

日前，南都个人信息保护研究中心与中国金融认证中心（CFCA）联合发布《常用第三方SDK收集使用个人信息测评报告》，报告发现，部分SDK“偷偷”收集用户个人敏感信息，还有少数SDK会向自家服务器明文传输信息。

值得关注的是，由于SDK安全性检测落后，相关监管措施尚属空白。为此，有黑产分子专门开发恶意SDK，利用知名App上架应用市场，进而控制千万用户的手机实施黑产作恶。更可怕的是，整个过程App开发者可能不知情，用户更无法感知。

“恶意SDK控制个人手机作恶已成新型黑产模式。”腾讯守护者计划安全专家黄汉川告诉南都记者，如果不加以遏制，它将控制用户手机做更多事情。

看不见的恶意SDK，黑产刷量的工具

“肉鸡”也称傀儡机，是指可以被黑客远程控制的机器。距离你的手机变成“傀儡机”，或许只需要一款恶意SDK。近日，腾讯在北京召开了一场安全沙龙活动。会上，恶意SDK控制个人手机实施黑产作恶，成为热门讨论的话题。

SDK全称是Software Development Kit，即软件开发工具包，一般是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具集合。

“SDK可以理解为一种组装模块。”据黄汉川介绍，为了提高编程的效率，程序员不可能自己编写每个小小的模块，所以会使用现成的SDK，然后植入App内。集成在应用软件内的各种SDK可帮助App高效低成本实现一系列功能，比如支付、统计、广告和地图等。

如此看来，SDK并非是“洪水猛兽”，但也不排除出现“作恶”的隐患。

南都记者曾报道，2018年4月，一款名为“寄生推”的信息推送SDK感染了300多款知名的安卓应用，受影响用户达2000多万。这款恶意SDK的传播过程非常隐蔽，可通过云端控制更新下发恶意程序代码包，入侵用户手机设备，频繁推广广告和下载无关应用等。

图自腾讯安全。

如今黑产升级！今年4月，腾讯安全发现一款新型SDK恶意刷量子包“横行”。这款恶意SDK将下载恶意子包嵌入正规App，在潜伏一段时间后，由子包从云端下发的执行代码，可以做到在用户无感知下，实现广告的自动点击刷量。

也就是说，一旦这款恶意SDK入侵，你的手机将沦为流量黑产赚取大量广告费用的“肉鸡”。

“周杰伦和蔡徐坤的‘流量之争’，说不定就有黑产控制个人手机帮忙刷量，并且是在用户完全不知情的情况下，由后台启动自动操作。”黄汉川说。

SDK作恶尚未引起重视，专家呼吁制定安全标准

长期关注网络黑产的黄汉川总结，SDK作恶有两大特点，一是安全风险隐匿化，二是影响范围广。

以前黑产分子控制“肉鸡”主要通过开发恶意App诱导用户下载，进而远程操控“受感染”的手机，但由于App安全性检测已变得完善，植入恶意SDK的App也很难上架应用商店触达用户。

不过黑产分子很快找到“漏洞”，即开发恶意SDK控制个人手机。对于App开发者而言，选择何种SDK植入软件更多看中的是功能性，几乎不会对里面的一行行代码进行安全检测分析。

此时，恶意SDK开发者通过与App厂商签订合同或提供免费下载的方式集成到应用程序内。由于恶意SDK预留后门的方式隐蔽，潜伏周期长，App应用开发者很可能就在不知情的情况下将它植入到开发程序里。如果应用商店也缺乏足够高的技术检测能力，那么恶意SDK很可能就此搭“便车”，被植入成千上万用户的手机里。

“这种黑产作恶方式太新了，尚未引起业内的重视。”黄汉川告诉南都记者。

如何应对和防范？黄汉川建议，用户在手机里安装安全软件，避免在非官方应用市场下载应用。App应用开发者应遵循合理、必要和最小化原则选择第三方SDK插件，集成前对第三方SDK进行全面的安全评估。

此外，各应用市场应加强管理，增强对恶意SDK的识别、检测和防范能力，对已发现恶意SDK的App及时下架整改。同时，黄汉川也呼吁尽快制定相应SDK的安全标准和评估方法，推动行业自律和法规出台。

报料请点击