脱缰恶意SDK奴役千万用户手机做“肉鸡”

又双叒叕一个SDK犯事儿了，1000+应用开发者、数千万用户中招，在毫无感知的情况下给黑产“免费”打工——狂刷广告曝光量和点击量，巨额广告费被黑产恶意赚取！

SDK，大名 Software Development Kit，中文名“软件开发 工具 包”。越来越多的App开发者在通过集成第三方SDK进行快速开发，实现诸如地图、支付、广告、推送等增值功能。在数字化转型大时代下的今天，包括金融在内的更多产业也在开始通过外发SDK实现自身业务的跨行业融合与扩展。在可以预期的未来，SDK这个组件所爆发出来的能量将极为可观。

黑产抢捞SDK第一桶金

绝对“与时俱进”的黑客、黑产也在加速开拓SDK欺诈“商机”，近两年来，由于恶意SDK所引发的安全事件在被越来越多地暴露出来。当产业界在积极谨慎地探索如何借助SDK实现业务拓展的时候，黑产却抢先一步尝到了SDK欺诈的甜头，通过恶意SDK控制“肉鸡”躲避反作弊检测，更为轻松地薅到了大量广告商羊毛。

黑客们发现，搞个山寨盗版App玩欺诈还是有些麻烦，而SDK这个组件就好操作很多了。

恶意SDK欺诈三步曲

先做个正规的SDK门脸，一本正经地为开发者提供如壁纸、手电筒等增值功能。

等App正式发布上线被用户使用后，对SDK使用热更新技术，植入恶意代码进行变身。

狂欢时刻开始：控制用户手机做“肉鸡”，暗刷广告薅羊毛！

瞧，用SDK玩欺诈简单又轻松，薅起羊毛来实在是乐翻天！

对于未受保护的SDK，恶意攻击者还可以对SDK进行逆向，获取分析SDK源代码发现业务逻辑漏洞，实施业务漏洞攻击。或者通过动态调试对SDK运行时的内存数据进行读写、修改操作，亦或通过非法手段绕过SDK校验规则对其非法调用，以及通过注入攻击对SDK注入恶意代码篡改业务逻辑、窃取敏感数据。

麻雀虽小五脏俱全

梆梆安全专家研究发现，SDK虽然小，安全破绽却不少。大量被开发者集成的第三方SDK，往往会存在暗藏恶意代码/后门程序风险、窃取用户数据风险以及安全漏洞威胁。2018年“某推”SDK就是通过预留后门，私自ROOT用户设备并植入恶意模块，进行恶意广告行为和应用推广。2019年更有恶意第三方SDK通过数据窃取组件来收集用户个人信息，进而非法牟利。

而企业外发的SDK，则往往可能存在代码被逆向的风险、被非法调试/攻击的风险、被非法盗用的风险以及暴露出安全漏洞的风险。2015年就曾有第三方SDK被爆存在后门漏洞，利用该SDK开发的应用能够在设备上开启HTTP服务器，且此服务器不需任何认证，攻击者可以轻易利用这一后门侵入用户的Android移动设备。某推送类第三方SDK则曾被发现存在可越权调用未导出组件的漏洞，利用该漏洞可以实现对使用了该SDK的App任意组件的恶意调用、任意虚假消息的通知及远程代码执行等攻击测试。

悉心呵护SDK“健康”可以这样办

SDK这种封装形式很好，有力地支撑了数字经济，可安全问题竟然这么多，咋办？梆梆安全专家提示，SDK安全这件事儿，你可以这样办：

01第三方SDK安全管控的前后法则

对于第三方SDK的安全防护，需要分别做好集成前的权限检测、风险检测，集成后的敏感行为监控、敏感信息拦截工作。

集成第三方SDK的企业基本无法对该类SDK的开发过程进行安全管控，无法确定所集成第三方SDK的安全性，所以企业需要在集成前对第三方SDK进行全面的安全检测。通过自动化安全测评可以快速发现App所集成第三方SDK存在的安全风险及权限使用情况。

由于第三方SDK可以在运行过程中动态更新代码，通过手机权限窃取用户信息，所以企业需要对集成后的第三方SDK进行实时动态监测，例如通过移动威胁感知平台类产品实现对第三方SDK的权限监测、危险阻断，甚至通过策略配置来阻止某些第三方SDK的非授权行为。

02外发SDK安全管控四步走

对于外发类SDK的安全管控，需要在设计与开发阶段、安全测试阶段、SDK发布阶段、SDK运维阶段做好相应的安全防护动作。

首先帮助SDK开发项目人员制定安全开发需求，协助开发人员完成功能的安全设计规范以及开发人员安全开发、测试人员安全测试。检查合规性问题，对开发流程进行安全管控。

然后对SDK进行加固、源码混淆、通信传输加密、密钥保护等安全防护，防止针对SDK的攻击和破解，降低因为核心算法、密钥、后台API接口、业务逻辑等重要内容泄露和被利用导致的安全事件。

另外还要针对需集成调用的SDK进行登记管理，登记应用包名、签名信息，在SDK的调用过程中验证宿主App的包名、签名信息，防止被非授权App调用。

最后则要通过移动威胁感知平台类产品在外发SDK中加入感知探针，监测外发SDK自身遭受的安全威胁及恶意攻击，监测外发SDK宿主应用的安全状态，监测外发SDK运行环境的安全状态，监测外发SDK的运行数据及崩溃情况。实现对SDK相关安全事件的预警、监控和阻断。

无论是第三方SDK还是外发SDK，其在数字时代下所能发挥的作用必然会越来越大。黑客、黑产对SDK的威胁其实不可怕，只要认真做好每一项安全保护动作，就能切实保障SDK能力的正常发挥。