中國 SDK 又出事,18,000 個 Android Apps 盜用戶 SMS

作者 | 發布日期 2015 年 11 月 03 日 9:06 | 分類 app , 網路 , 資訊安全 follow us in feedly
unwire.pro 配圖

應用程式開發者經常面對如何獲取收益的煩惱,而最簡單和常見的方式就是在應用程式中加入廣告或額外的付費功能和物品。而不少流動廣告平台亦提供 SDK,供開發者簡單快速地加入廣告或內購物品,從而獲取收入。但這些第三方 SDK 可能暗藏惡意程式碼,若開發者未察覺而使用,用戶的資料便會遭洩漏。



網路資訊安全公司 Paloalto Networks 近日發表研究報告指,中國行動平台廣告公司淘米客所提供的開發者工具(Software Development Kit,SDK)自今年 8 月 1 日更新後,新增的程式碼會記錄用戶所有 SMS 訊息的內容並傳送回該公司的伺服器。

 

新版 SDK 暗藏惡意程式碼

據 Paloalto Networks 的紀錄,多達 63,000 款 Android 應用程式有使用淘米客 SDK,其中已有 18,000 款應用程式內建該惡意程式碼,可以任意存取用戶手機中的 SMS 訊息。

unwire.pro 配圖

Paloalto Networks 的研究人員指,新版的淘米客 SDK 中,在 IAP 功能下新增了一個 zdtpay library,它會要求 SMS 和網路相關功能的系統授權, 並為 SMS_RECEIVED 和 BOOT_COMPLETED 註冊了名為 com.zdtpay.Rf2b 的訊息接收器。

它會收集 SMS 的訊息內容及發送者的電話號碼,儲存到 hashmap 中,並上傳到 112.126.69.51 這 IP 地址。目前尚未清楚淘米客盜取用戶 SMS 訊息的原因,但不論其目的為何,這明顯是侵犯用戶隱私的惡意行為。

unwire.pro 配圖

不過由於 Google 自 Android 4.4(Kitkat)版本中,已經禁止了非預設 SMS 應用程式擷取 SMS 訊息權限,因此受影響的用戶主要是 4.4 之前舊系統版本的用戶;而從官方應用程式市場 Google Play 下載應用程式的用戶,理論上不會受到這次安全風險的影響。

Paloalto Networks 的研究人員表示,即使是非常流行的第三方廣告平台也不代表其完全可信任,開發者在使用這些平台的 SDK 時,應細心檢查和留意任何不正常的程式碼。

(本文由 Unwire Pro 授權轉載) 

關鍵字: , , , ,

發表迴響