文档介绍：2014年APP广告插件安全研究报告2014年10月24日摘要为了检验广告插件的安全性,本次报告针对当前安卓平台1000款热门应用中,最流行的10款正规厂商广告插件进行了一次全面的安全性分析。安全分析内容主要包括:安全漏洞与风险分析、用户信息收集状况分析、权限使用状况分析三个方面。在本次安全分析的10款广告插件中,共有3款插件存在安全漏洞,其中1款同时存在动态加载校验漏洞和Javascript代码任意执行两种安全漏洞,另外2款存在动态加载校验漏洞。在用户信息收集状况分析方面,所有10款广告插件均涉及收集用户敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息、软件环境信息的情况。在权限使用状况分析方面,发现100%广告插件都存在滥用权限情况。100%的插件使用了读取电话状态的权限,70%的插件使用了获取用户地理位置的权限。20%的插件使用了拨打电话的权限,10%的插件使用了发送短信的权限。另据360互联网安全中心检测发现,广告插件还存在强制推送广告、干扰用户、消耗流量、躲避检测等不良行为。关键词:广告插件、安全漏洞、收集用户信息、滥用权限目录移动广告安全状况综述 1第一章安全漏洞与风险分析 2一、 动态加载校验漏洞 2二、 Javascript代码任意执行漏洞 4三、 安全漏洞与风险分析结果 6第二章用户信息收集分析 7一、 用户信息分析 7二、 用户信息收集状况分析结果 10第三章权限使用分析 11第四章不良行为举例 14一、 强推广告 14二、 干扰用户 15三、 消耗流量 16四、 躲避检测 19第五章安全建议 20一、 用户信息获取的四项基本原则 20二、 给用户的建议 20附录ANDROID系统权限说明 21移动广告安全状况综述我国移动互联网发展已经进入全民时代。截至2014年6月,,其中,,%。在网民上网设备中,%,%的使用率,移动终端已经成为一种重要的媒介,占据了人们越来越多的时间,成为用户日常生活不可分割的一部分。在此背景下,随着智能终端的迅速普及,以移动互联网为载体的移动广告迎来了迅猛发展,根据艾媒咨询(iiMediaResearch)《2013-2014年***广告平台行业观察报告》数据显示,2013年***,%,。。移动广告市场的快速增长导致国内涌现出上百家移动广告平台,他们主要依靠在移动应用中集成广告插件,收取广告主的展示费来盈利。这些广告平台大小不一,良莠不齐,他们提供的广告插件没有统一的行业标准,给移动安全带来了一定的风险和隐患。为了检验广告插件的安全性,本次报告针对当前安卓平台1000款热门应用中,最流行的10款正规厂商广告插件进行了一次全面的安全性分析。分析检测的内容主要包含:安全漏洞、用户信息收集和系统权限使用这三项指标。此次分析检测的主要结果如下:检测类别检测项目检出数量检测类别检测项目检出数量检测项目检出数量安全漏洞动态加载校验漏洞3用户信息收集敏感隐私信息10手机硬件配置环境10Javascript代码任意执行漏洞1手机唯一标识10软件相关信息10应用权限使用滥用权限个数10联网相关信息10表1广告插件安全分析结果此外,本次报告第四章还将举例分析手机广告插件的其他一些恶意行为,包括强制推送广告、干扰用户、消耗流量、躲避检测等。安全漏洞与风险分析在本次检测中,360互联网安全中心共分析发现两种存在于主流广告插件中的安全漏洞,一种是动态加载校验漏洞,另一种是Javascript代码任意执行漏洞。下面首先对这两种漏洞的原理和特点进行说明,本章第三小节将给出具体的检测结果。动态加载校验漏洞所谓动态加载校验漏洞,是指某些手机广告插件在版本更新或功能扩展过程中,一方面会在手机联网情况下,采用静默下载,静默加载的方式进行更新;另一方面又不会对更新包(zip包、jar包或apk文件等)的发布者身份或数字签名进行校验,从而导致广告插件在自动更新过程中,可能会下载并安装被篡改过的更新包或恶意更新包,进而使用户手机感染木马病毒并面临安全威胁。利用此类漏洞,攻击者可以构造特定的钓鱼网络(如恶意的WiFi热点)并诱使手机用户接入,随后,手机上有类此漏洞的广告插件就会自动联网到攻击者指定的服务器上进行更新,并自动下载安装攻击者设定的恶意更新包。由于有此漏洞的广告插件是在后台静默联网、静默更新的,因此手机用户并不知情,也完全无法阻止这一攻击过程的发生。更为可怕的是,由于更新包的下载和安装过程是由广告插件自动完成的,并不需要攻击者进行干预,因此攻击者只要搭建好钓鱼网络,就可以