移动应用广告SDK安全风险
移动应用广告因其分布行业广、用户数量大、配置灵活多样、点播流量高、投入成本小等特点,在移动互联网上得到迅猛发展,成为众多移动应用开发者的主要盈利手段之一。
而APP本身极易被反编译和篡改的结构特性,导致包含在APP内的各广告SDK、数据统计SDK被随意的剔除、破坏、替换,不但给开发者造成了严重的经济损失,还带来各类因添加流氓广告、木马、私自扣费等恶意代码而引发的负面影响,使品牌信誉遭受损害。
移动广告SDK面临的威胁
-
广告屏蔽
屏蔽掉广告的正常显示,让投放的广告失效
-
广告剔除
反编译应用,删除广告SDK代码,使广告无法投放
-
广告替换
替换成破解者定义的广告SDK,将广告收益导向破解者
-
恶意植入
植入流氓代码、后门程序、计费代码等,向用户恶意推广广告、窃取及控制用户数据
针对移动广告SDK的破解方式
以Android平台为例,APP要展示来自广告平台的移动广告,需先导入广告平台SDK,在AndroidManifest.xml内进行注册,还要在相应layout内创建元素,Layout则控制广告的长宽显示等。
因而,一些攻击可以在反编译APP后,针对Manifest和layout等与广告SDK相关的配置参数、函数和方法进行修改,比如将广告下载源地址修改成无效的地址等。
通常来说,广告SDK破解行为种类繁多,包括如禁止广告下载、删除广告下载源、将广告条从界面上移走、屏蔽广告显示等。这些对广告SDK的篡改攻击可能会发生在APP的渠道分发环节,也可能在APP的运行中受到动态注入攻击修改。
反编译
- 破解APP源代码
- 破解APP资源文件
修改广告逻辑
- 广告SDK定位
- 关键逻辑破解
- 广告参数及地址修改
投放界面劫持
- 广告投放方式、效果控制
- 广告访问地址劫持、篡改
- 广告显示内容控制、替换
梆梆安全移动应用广告SDK安全解决方案
保护开发者的核心利益,建立良好的应用生态环境,更好地服务于用户,一直是梆梆安全努力实现的目标。
风险隐患早发现:
在梆梆安全采集到的众多广告SDK被破解的样本当中,普遍存在着泛性安全问题,这些问题通常是因为开发者不重视、经验不足所引起的。而这些问题,在应用上线之前,就应该被消灭掉。
梆梆安全提供的应用安全评估服务,可以从100余项测评内容上,全面地对应用自身安全问题进行体检,及时发现问题,提早规避风险。
| SDK引入安全检测 | 扫描APP引入的各类SDK是否本身包含漏洞风险。 |
|---|---|
| 恶意代码检测 | 检测APP引用的组件、SDK是否包含后门、病毒、木马等恶意代码。 |
| 敏感权限检测 | 检测APP引用的组件、SDK等内容是否申请了高敏感权限。 |
| 防逆向能力检测 | 检测APP本身的防御逆向攻击能力,是否具备代码防护能力。 |
| 热门漏洞扫描 | 扫描APP是否存在当前已知的各类高危漏洞。 |
| 防篡改能力评估 | 测试APP本身的如广告SDK等内容的防篡改能力。 |
| 强壮性测试 | 对APP的动态注入攻击能力进行测试,查看是否具备针对广告SDK破解的防护能力。 |
安全问题及时管:
开发者在发现自身APP存在安全漏洞、风险时,要及时对相关问题进行处理,同时要对应用引入的SDK及自身程序做高强度的加密、加固服务,才能有效抵御各类安全风险。
梆梆安全本身就是专业的从事应用软件深层次加密、加固的安全服务公司,针对移动广告SDK存在的安全问题,在底层加固技术上做了更符合开发者需求的技术处理。
基于应用SDK的特点,梆梆安全在已有的应用加固服务基础上,新增了"SDK"加密功能,可以更加有效地保护应用内的SDK安全。
-
SDK加密
SDK高强度独立的加密、加固保护技术,确保安全无忧。
-
应用加固
由里到外多层次深度加固,让应用牢不可破。
梆梆安全给开发者带来的价值
许多知名的移动互联网APP应用,都曾被替换植入了恶意广告SDK,移动广告SDK被篡改攻击,最终将损害APP开发者、广告平台、广告主的利益和品牌口碑。
通过对APP的完整性安全加固,保证了移动广告SDK的完整性,为APP开发者提供保障,保护移动广告平台的广告盈利模式不被破坏。
