APP运营者为了拓宽自身的业务范围,提高自身的技术能力;或为了节约开发成本、提高工作效率,通常都会使用多种第三方的SDK。小众化的第三方SDK开发往往侧重于功能性的完善,而在安全性方面投入较少,从而导致APP使用第三方SDK时会发生许多安全问题。
首先,SDK自身安全性令人担忧。目前,有超过60%的SDK含有多种漏洞,且由于SDK被广泛使用到大量的APP中,造成漏洞的影响范围非常大。
其次,SDK普遍存在隐瞒收集用户个人信息的行为。APP对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围,利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息,并向远程服务器甚至境外服务器进行回传。
最后,由于目前SDK市场缺乏监管,安全性很难保证,近期通过第三方SDK隐瞒收集个人信息的安全事件不断被曝光。
爱加密持续关注我国移动应用安全问题,全年不间断通过爱加密强大的爬虫团队从各应用商店、论坛、网盘、企业官方网站获取移动应用数据。对数据清洗和安全检测后获取移动基础资产数据,将基础资产数据存储至移动应用大数据中心,为政府和企业客户提供移动安全报告的数据支撑,协助各级政府和企业对移动应用安全事件进行监测并协调处置,取得了显著成效。
本报告依托爱加密移动应用大数据中心数据,重点对SDK使用情况及市场占有率进行分析总结,并结合移动应用安全威胁事件处置的实践成果给出建议和防范措施。
一、SDK概况
根据爱加密大数据中心提供的数据,截止4月底共计收录Android应用数据约267万条,其中超50%的APP都不同程度的使用了第三方公司提供的SDK工具包。目前大数据中心已收录SDK工具包414个,包括广告、框架、推送、统计、地图、支付、社交等类别,详见图1:
图1 SDK类别统计图
二、SDK市场占有率
(一)框架类SDK市场占有率最高
从类型上看,框架类SDK使用范围最广,市场占有率42.98%;其次是广告类,市场占有率12.86%;第三位的是社交类SDK,市场占有率11.60%。详见图2:
图2 各类SDK市场占有率
(二)AdMob广告市场占有率最高
从各个SDK市场占有率来看,AdMob广告市场占有率最高,为17.16%;其次是GSON,占有率为13.44%;排在第三位的是支付宝支付SDK,市场占有率为9.91%。详见图3:
图3 SDK市场占有率统计图
1、AdMod广告市场市场占有率
全国约有46万多款APP嵌入了这个SDK,主要集中在游戏类、生活服务类和工具类软件,合计占比84.09%。详见图4:
图4 AdMod广告市场行业市场占有率
2、GSON市场占有率
全国约有36万款APP嵌入了这个SDK,主要集中在游戏类、生活服务类和媒体类,合计占比53.89%。详见图5:
图5 GSON行业市场占有率
3、支付宝支付SDK市场占有率
全国约有27万款APP嵌入了这个SDK,主要集中在游戏类、生活服务类和购物类,合计占比65.51%。详见图6:
图6 支付宝支付行业市场占有率
4、地图类SDK中百度地图市场占有率位居第一
全国约有17万APP嵌入百度地图SDK,而高德地图SDK仅有7.9万APP嵌入了这个SDK。从这个方面来看,百度地图的市场占有率还是遥遥领先于高德地图的。详见图7:
图7 地图类SDK市场占有率
三、谨防成为SDK窃取隐私的保护伞
3月13日,世界级安全公司Check Point披露报告称,某科技公司涉嫌盗窃用户数据。报告指出,电池医生、Wi-Fi信号增强器等12款中国APP存在盗取用户通讯录数据的情况,而上述部分APP直接或间接从属于该公司。报告显示,被曝光APP迄今下载量已经超过1.11亿次,可见波及范围之广。
以上述被披露的公司为例,在下载软件的权限设置中,程序需要读取讯息、读取通讯录、发送短信、修改/删除内部媒体储存设备的内容等。且在读取用户内容后,该公司并未向用户明示,收集使用信息的目的、方式和范围。详见图8:
图8 获取权限截图
四、APP安全问题至关重要
2017年6月1日正式施行《中华人民共和国网络安全法》,其中第41条至43条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息,应当遵循相关的法律法规,并经被收集者同意,不得向他人提供个人信息。此外,网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息;网络运营者应当采取安全措施,确保其收集的个人信息安全。
然而实际操作中,由于取证难、执法难。存在大量APP开发企业无视法律法规,在用户使用时根本不提供隐私条款,部分APP即使有隐私条款,也是和实际采集的用户信息不匹配。大量APP存在过度采集信息,即不是他们提供服务时应获取的信息,以及大量APP在收集和使用用户个人信息时缺乏明示,且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。
此外需引起关注的是,除被曝光的信息安全事件之外,还有较多的SDK仍存在隐蔽窃取用户信息的行为。因此作为APP开发企业,除了提高安全意识、规范自身行为以外,还应对自己所提供的APP负责,避免因SDK的恶意行为而受到牵连,避免不法分子利用自己的APP做保护套,干着违法的勾当。
从近期Android端恶意应用的作恶手法来看,恶意开发者更多地向Android应用供应链的上游转移,从直接开发APP应用转向开发SDK。通过提供恶意的SDK给应用开发者,导致给用户造成更为广泛的危害和损失。因此SDK的安全问题将成为今年乃至今后很长一段时间,政府相关部门及爱加密护航移动应用安全的首要任务。