应用程序开发者经常面对如何获取收益的烦恼,而最简单和常见的方式就是在应用程序中加入广告或额外的付费功能和物品。而不少流动广告平台亦提供 SDK,供开发者简单快速地加入广告或内购物品,从而获取收入。但这些第三方 SDK 可能暗藏恶意程式码,若开发者未察觉而使用,用户的资料便会遭泄漏。
网络资讯安全公司 Paloalto Networks 近日发表研究报告指,中国行动平台广告公司淘米客所提供的开发者工具(Software Development Kit,SDK)自今年 8 月 1 日更新后,新增的程式码会记录用户所有 SMS 讯息的内容并传送回该公司的服务器。
新版 SDK 暗藏恶意程式码
据 Paloalto Networks 的纪录,多达 63,000 款 Android 应用程序有使用淘米客 SDK,其中已有 18,000 款应用程序内建该恶意程式码,可以任意存取用户手机中的 SMS 讯息。
Paloalto Networks 的研究人员指,新版的淘米客 SDK 中,在 IAP 功能下新增了一个 zdtpay library,它会要求 SMS 和网络相关功能的系统授权, 并为 SMS_RECEIVED 和 BOOT_COMPLETED 注册了名为 com.zdtpay.Rf2b 的讯息接收器。
它会收集 SMS 的讯息内容及发送者的电话号码,储存到 hashmap 中,并上传到 112.126.69.51 这 IP 地址。目前尚未清楚淘米客盗取用户 SMS 讯息的原因,但不论其目的为何,这明显是侵犯用户隐私的恶意行为。
不过由于 Google 自 Android 4.4(Kitkat)版本中,已经禁止了非预设 SMS 应用程序撷取 SMS 讯息权限,因此受影响的用户主要是 4.4 之前旧系统版本的用户;而从官方应用程序市场 Google Play 下载应用程序的用户,理论上不会受到这次安全风险的影响。
Paloalto Networks 的研究人员表示,即使是非常流行的第三方广告平台也不代表其完全可信任,开发者在使用这些平台的 SDK 时,应细心检查和留意任何不正常的程式码。
- Warning: 18,000 Android Apps Contains Code that Spy on Your Text Messages
(本文由 Unwire Pro 授权转载)