具備強(qiáng)大功能的第三方SDK,，廣泛的應(yīng)用在大量AndroidAPP的設(shè)計(jì)開發(fā)階段,，成為整個(gè)Android軟件供應(yīng)鏈中不可或缺的一部分,。但這也同時(shí)意味著,，一旦處于供應(yīng)鏈上游環(huán)節(jié)的SDK失守,，不僅給大量Android應(yīng)用帶來安全隱患,，更會(huì)影響無數(shù)用戶的網(wǎng)絡(luò)安全,。

7月25日,，騰訊安全反詐騙實(shí)驗(yàn)室發(fā)布《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》（下簡稱報(bào)告）,。報(bào)告指出,，第三方SDK安全事件是Android供應(yīng)鏈中頻發(fā)的安全事件，這類攻擊大多采用了白簽名繞過查殺體系的機(jī)制，其行為也介于黑白之間,，從影響用戶數(shù)來說遠(yuǎn)超一般的漏洞利用類攻擊,。尤其對于接入SDK數(shù)量最多的金融類APP而言，潛伏著巨大隱患,，亟需提高警惕,。

統(tǒng)計(jì)分析類SDK 集成比例最高 ?金融類型APP平均使用超20個(gè)SDK

第三方SDK包括廣告、支付,、統(tǒng)計(jì),、社交、推送,，地圖等類別,，是廣告商、支付公司,、社交,、推送平臺，地圖服務(wù)商等第三方服務(wù)公司為了便于應(yīng)用開發(fā)人員使用其提供的服務(wù)而開發(fā)的工具包,，封裝了一些復(fù)雜的邏輯實(shí)現(xiàn)以及請求,，響應(yīng)解析的API，由于其使用的廣泛性,，一旦出現(xiàn)安全問題并且被黑客利用,，其影響范圍之廣，危害之大不言而喻,。

報(bào)告針對應(yīng)用市場上各類型應(yīng)用TOP 100使用的第三方SDK情況進(jìn)行分析,，發(fā)現(xiàn)各類SDK在應(yīng)用中的集成比例從高到低依次為統(tǒng)計(jì)分析類、廣告類,、社交類,、支付類、位置類,、推送類,。不難發(fā)現(xiàn)，被廣泛使用的SDK直接和用戶的移動(dòng)支付安全,、地理隱私等關(guān)系密切,。

（SDK類別被集成比例）

而各種類型的APP在第三方SDK使用數(shù)量方面，金融借貸類平均使用的SDK數(shù)量最多,，達(dá)到21.5,，緊隨其后是新聞?lì)怉PP，平均數(shù)量為21.2,；往后是購物類,、社交類,、銀行類和游戲類,，平均數(shù)量都超過15個(gè),；再后面的則是出行類、辦公類和安全工具類,，平均使用的SDK數(shù)量相對較少,，分別為11.4、9.7和6.7,。

（各類應(yīng)用平均集成SDK的個(gè)數(shù)）

從報(bào)告統(tǒng)計(jì)得到的數(shù)據(jù)可以看到,，Android應(yīng)用在開發(fā)時(shí)都集成使用了數(shù)目眾多的第三方SDK，尤其是金融借貸類,、購物類,、銀行類等涉及用戶身份信息和財(cái)產(chǎn)安全的應(yīng)用，使用的第三方SDK數(shù)量普遍在15個(gè)以上,，最多的甚至達(dá)到30多個(gè),。

報(bào)告指出，這些應(yīng)用集成的第三方SDK中,，不僅包含大廠商提供的SDK,，而且還包含很多開源社區(qū)提供的SDK，這些SDK的安全性都沒有得到很好的驗(yàn)證,，一旦發(fā)生安全問題,，將直接危害用戶的隱私和財(cái)產(chǎn)安全，造成嚴(yán)重的后果,。

第三方SDK安全“內(nèi)憂外患” ?“寄生推”SDK事件揭示惡意開發(fā)者已滲入

第三方SDK的安全堪稱“內(nèi)憂外患”,。除了生來就瞄準(zhǔn)獲取用戶隱私信息的惡意SDK之外；SDK自身存在的漏洞如果被不法分子利用,，攻擊者就能夠利用SDK本身存在的強(qiáng)大功能發(fā)動(dòng)惡意的攻擊行為,，例如在用戶毫無察覺的情況下打開相機(jī)拍照，通過發(fā)送短信盜取雙因素認(rèn)證令牌,，或?qū)⒃O(shè)備變成僵尸網(wǎng)絡(luò)的一部分,。

報(bào)告總結(jié)了近幾年Android平臺發(fā)生第三方SDK安全事件，發(fā)現(xiàn)其安全問題主要發(fā)生在三個(gè)方面：首先,，第三方SDK的開發(fā)者的安全能力水平參差不齊,，且眾多第三方SDK的開發(fā)者側(cè)重于功能的實(shí)現(xiàn)，在安全方面的投入不足,，導(dǎo)致第三方SDK中可能存在著這樣或那樣的安全漏洞,。近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK,、zipxx等,，由于其被廣泛集成到大量的APP中,，漏洞的影響范圍非常大。

其次,，部分SDK開發(fā)者出于某種目的,，在其開發(fā)的SDK中預(yù)留了后門用于收集用戶信息和執(zhí)行越權(quán)操作；再次,，部分惡意開發(fā)者滲入了SDK開發(fā)環(huán)節(jié),，以提供第三方服務(wù)的方式吸引其他APP應(yīng)用開發(fā)者來集成他們的SDK。借助這些合法應(yīng)用,，惡意的SDK可以有效地躲避大部分應(yīng)用市場和安全廠商的檢測,，影響大量用戶的安全。

今年4月,，騰訊安全反詐騙實(shí)驗(yàn)室的TRPAI反病毒引擎捕獲到一個(gè)惡意推送信息的軟件開發(fā)工具包（SDK）——“寄生推”,，它通過預(yù)留的“后門”云控開啟惡意功能，私自ROOT用戶設(shè)備并植入惡意模塊,，進(jìn)行惡意廣告行為和應(yīng)用推廣,，以實(shí)現(xiàn)牟取灰色收益。300多款知名應(yīng)用遭遇“寄生推”的病毒感染,，其中不乏用戶超過千萬的巨量級軟件,，潛在影響用戶超2000萬。

“寄生推”SDK的爆發(fā)反映出,，惡意軟件作者正越來越多地利用用戶與軟件供應(yīng)商間的固有信任,，通過層出不窮的攻擊手法投遞惡意載體，造成難以估量的損失,。對此,，報(bào)告呼吁，在應(yīng)對應(yīng)用供應(yīng)鏈攻擊的整個(gè)場景中,，需要手機(jī)廠商,、應(yīng)用開發(fā)者、應(yīng)用市場,、安全廠商,、普通用戶等各主體積極參與、通力合作,，才能構(gòu)建Android應(yīng)用供應(yīng)鏈的安全生態(tài),。