中國 SDK 又出事 18,000 Android Apps 盜用戶 SMS

應用程式開發者經常面對如何獲取收益的煩惱,而最為簡單和常見的方式就是在應用程式中加入廣告或額外的付費功能和物品。而不少流動廣告平台亦提供 SDK 供開發者簡單快速地加入廣告或內購物品,從而獲取收入。但這些第三方 SDK 可能暗藏惡意程式碼,若開發者未察覺而使用,用戶的資料便會遭洩漏。

應用程式開發者經常面對如何獲取收益的煩惱,而最為簡單和常見的方式就是在應用程式中加入廣告或額外的付費功能和物品。而不少流動廣告平台亦提供 SDK 供開發者簡單快速地加入廣告或內購物品,從而獲取收入。但這些第三方 SDK 可能暗藏惡意程式碼,若開發者未察覺而使用,用戶的資料便會遭洩漏。

網絡資訊安全公司 Paloalto Networks 近日發表研究報告指,中國流動平台廣告公司淘米客所提供的開發者工具(Software Development Kit, SDK)自今年 8 月 1 日更新後,新增的程式碼會記錄用戶所有 SMS 訊息的內容並傳送回該公司的伺服器。

 

新版 SDK 暗藏惡意程式碼 18,000 款 Apps 盜用戶 SMS

據 Paloalto Networks 的記錄,多達 63,000 款 Android 應用程式有使用淘米客 SDK,其中已有 18,000 款應用程式內置該惡意代碼可以任意存取用戶手機中的 SMS 訊息。

Paloalto Networks 的研究人員指,新版的淘米客 SDK 中,在 IAP 功能下新增了一個 zdtpay library,它會要求 SMS 和網絡相關功能的系統授權, 並為 SMS_RECEIVED 和 BOOT_COMPLETED 註冊了名為 com.zdtpay.Rf2b 的訊息接收器。

它會收集 SMS 的訊息內容及發送者的電話號碼,儲存到 hashmap 中,並上傳到 112.126.69.51 這 IP 地址。目前尚未清楚淘米客盜取用戶 SMS 訊息的原因,但不論其目的為何,這明顯是侵犯用戶私隱的惡意行為。

不過由於 Google 自 Android 4.4 (Kitkat) 版本中已經禁止了非預設 SMS 應用程式擷取 SMS 訊息權限,因此受影響的用戶主要是 4.4 之前舊系統版本的用戶;而從官方應用程式市場 Google Play 下載應用的用戶,理論上亦不會受今次安全風險的影響。

Paloalto Networks 的研究人員表示,即使是非常流行的第三方廣告平台也不代表其完全可信任,開發者在使用這些平台的 SDK 時應細心檢查和留意任何不正常的程式碼。

 

Source: The Hacker News  Paloalto Networks