点击上方“中国信息安全”可订阅

根据CNNIC发布的数据，截至年12月，我国手机网民规模达7.53亿，较年底增加万人。网民中使用手机上网人群的占比由年的95.1%提升97.5%。随着共享通行、移动支付、智能生活的发展，手机已经成为日常生活的核心助手。因Android操作系统开源特性，使得其市场占有率逐年增加。在Android平台的应用开发过程中，众多的软件包SDK（SoftwareDevelopmentKit）发挥着重要作用，使得开发人员能够重复利用第三方SDK，快速完成功能开发。

从Google年发布的《MobileSDKEconomyAndroidFullReport-MaybySafeDK》中，我们可以看出：截至年12月，平均每个应用集成第三方SDK个数为17.8，分析、广告、社交、支付、定位、影音等类型的SDK被集成次数排名靠前。近几年，随着SDK集成被广泛，有关SDK的安全事件也是越来越严峻。

年10月27日，百度旗下12款软件存在有WormHole漏洞，该漏洞可以被利用来远程安装应用和控制手机。10月30日，百度WormHole漏洞门进一步扩大，大量的采用了百度提供的软件开发工具包（SDK）的应用都受到影响，这也正是此次百度系软件WormHole漏洞集中爆发的原因。

年8月，安全公司LookoutSecurityIntelligence的研究人员报告，一个名为lgexin（个信）的广告SDK发现内置后门，允许下载和执行任意代码。在Google官方应用商店GooglePlay，超过款应用使用了恶意版本的个信广告SDK。目前尚无法确定所有的这些应用都有下载恶意木马的能力，但lgexin可以在需要的时候引入这个功能，受此影响的应用下载量已经超过一亿次。

年4月18日，“寄生推”漏洞爆发，第三方SDK可通过预留的“后门”云控开启恶意功能，进行恶意广告行为和应用推广，以实现牟取灰色收益，受到影响的设备会不断弹出广告和安装推广应用，余款知名应用软件被感染、受影响用户高达余万。

然而，被曝光出来的问题，仅仅是第三方SDK安全问题的冰山一角。为什么在第三方SDK被广泛使用的情况下，而且频频出现安全问题，我们却很难进行安全管控？主要有两大原因：

（1）SDK集成缺少审计环节。

由于集成的第三方SDK众多，缺乏有效的代码审计工具和人员，无法快速地针对每个SDK的每个版本都进行代码审计。同时大量的SDK发布前都对代码进行高强度混淆，导致集成厂商无法有效对代码进行安全审计。

（2）应用发布后缺乏管控手段。

目前各大应用开发厂商，缺乏应用发布后的监控手段，无法对应用发布后的第三方SDK行为进行监控。利用动态代码下载加载机制，恶意SDK可以在应用发布后，从云端下载恶意代码并执行，达到自己恶意推广和窃取用户敏感数据的目的。

“寄生推”事件的出现，让我们重新认识到应用发布后安全管控的重要性。源代码审计、渗透测试、安全加固等静态安全防护措施，在过去5年的移动安全发展过程中发挥了重大作用。但是随着技术的发展，越来越多的威胁发生在运行过程中，如第三方SDK恶意行为、程序外挂、注入攻击、设备信息伪造、位置篡改等，动态攻击正在对用户隐私和企业业务安全产生越来越重大的影响。这些问题集中表现在，企业对于应用发布后缺乏管控力，应用发布后，不知道正在访问企业后台的应用是不是来自于官方发布的合法应用？不知道有没有黑客正在通过客户端发起对企业后台的渗透测试行为？不知道使用者是不是正在以正常的手段、正常的设备使用应用？不知道第三方的SDK是不是偷偷在恶意安装应用，窃取用户隐私？甚至不知道后台业务风控及反欺诈系统从前端采集的数据是否被伪造？

带着这些疑问，笔者专门采访了国内移动应用安全领导厂商梆梆安全的移动威胁感知与业务反欺诈产品负责人谭阳，向他咨询“寄生推”相关防御措施。据谭阳介绍，梆梆安全早在年就开始就为企业建立移动应用安全监控与运行监测中心，专注于为企业提供移动应用发布后的安全监控与运行监测服务，谭阳如是说道，着重提升企业以下几方面的能力：

一、运行时威胁感知能力：持续监测在运行过程中对移动应用的各种攻击行为。

二、第三方SDK安全监控能力：持续监控第三方SDK运行过程中的异常行为。

三、应用运营分析能力：对应用运行过程数据和崩溃数据进行采集分析。

四、实时准确威胁情报能力：提供实时并且准确的移动端威胁情报进行精准业务风控。

五、威胁阻断与溯源能力：针对运行过程中的恶意行为及时阻断与事后攻击溯源。

通过这五大能力的提升，与传统的静态防御手段形成有效的协同防御，帮助企业建立移动应用主动防御体系，以应对新时代下移动应用安全面临的新挑战。我们有理由相信“寄生推”事件仅仅是一个开始，未来我们需要面对的新挑战还有很多。

更多信息安全资讯

请