日前，有(yǒu)外媒报道称，应用(yòng)程序分(fēn)析公(gōng)司Kochava发现8款安(ān)卓应用(yòng)利用(yòng)用(yòng)户权限进行广告点击欺诈，或已窃走数百万美元收益。这其中(zhōng)7款应用(yòng)来自猎豹移动。

Kochava指控：猎豹旗下的七款APP，包括猎豹清理(lǐ)大师、猎豹安(ān)全大师、猎豹锁屏等全球流行应用(yòng)，在监控用(yòng)户的APP下载，当用(yòng)户下载之后，猎豹会把自己的广告代码传递给广告商(shāng)，以此来获取广告商(shāng)的下载分(fēn)成。

猎豹移动声明：猎豹移动App的广告变现收入主要来自第三方SDK，而非猎豹移动App自身的行為(wèi)，猎豹移动与这些SDK的提供方并无任何控制关系，在技(jì )术上，这些SDK的运行也并不受猎豹移动的控制。

随着事件的发酵，这场互撕大战愈演愈烈。安(ān)全专家分(fēn)析认為(wèi)，报告如果属实，这里面涉及三个角色：App（广告呈现方，这里指猎豹移动）、ADSDK（广告分(fēn)发平台，这里指提供SDK的广告公(gōng)司）、广告客户。其中(zhōng)，App和ADSDK是收费方，而广告客户是付费方，也就是说，两个收费方都有(yǒu)推广作(zuò)弊的动机。

对此，爱加密资深安(ān)全顾问表示，不论是两方谁在作(zuò)弊，都是监控到有(yǒu)新(xīn)增应用(yòng)后，伪造推广链接给广告商(shāng)。 

Ø如果是App作(zuò)弊：即集成了ADSDK应用(yòng)广告带来的收入被其他(tā)方给拦截并篡改了，那说明这个ADSDK的业務(wù)逻辑被破解或业務(wù)逻辑被绕过。

套路： 用(yòng)户授权App高级权限，也就是猎豹APP在安(ān)装(zhuāng)时要求用(yòng)户同意的那些权限，这些权限会用(yòng)来监听新(xīn)应用(yòng)的安(ān)装(zhuāng)和信息读取，如電(diàn)话本、地理(lǐ)位置等，绝大多(duō)数用(yòng)户会直接点击同意。如果App（广告呈现方）监听到新(xīn)应用(yòng)的下载或安(ān)装(zhuāng)后，伪造一个推广链接发给ADSDK，于是此次下载分(fēn)成就被App给抢走了。

建议：企业在开发阶段即了解自身SDK存在的安(ān)全缺陷及风险，并对SDK进行加固，全方面提升SDK的安(ān)全防护能(néng)力，避免SDK被二次打包、被进程注入，防止核心业務(wù)被直接查看或逆向分(fēn)析，进而保护自身的品牌形象。爱加密可(kě)為(wèi)SDK提供整體(tǐ)安(ān)全加固，包括Jar和AAR文(wén)件的深度加密加壳、Jar和AAR文(wén)件内函数抽取加密及动态还原、Jar和AAR文(wén)件VMP加密技(jì )术、SO文(wén)件保护、防调试保护等，从根本上解决SDK的安(ān)全缺陷和风险，使加固后的SDK具(jù)备防逆向分(fēn)析、防二次打包、防动态调试、防进程注入、防数据篡改等安(ān)全保护能(néng)力。

• 如果是ADSDK作(zuò)弊：表明SDK本身暗藏作(zuò)弊程序或遠(yuǎn)程操控的后门，这里是指广告厂商(shāng)提供的SDK被别人破解了。

套路：ADSDK（广告分(fēn)发平台）拥有(yǒu)高级权限，即监听新(xīn)应用(yòng)的安(ān)装(zhuāng)和信息读取，当用(yòng)户安(ān)装(zhuāng)新(xīn)的App后ADSDK读取应用(yòng)信息后伪造推广链接请求发给广告商(shāng)。

建议：事前对SDK进行完整的安(ān)全性审计，检查SDK中(zhōng)拥有(yǒu)哪些权限，并检查这些权限哪些是必须的，非必须权限进行强制关闭等。爱加密可(kě)為(wèi)SDK提供完整的安(ān)全性审计方案，包括对SDK的基本信息检测、数据安(ān)全检测、代码安(ān)全规范检测、业務(wù)逻辑检测，从SDK本身业務(wù)层解决此类风险。

不管此次猎豹移动“广告点击欺诈门”事件的罪魁祸首是不是SDK，SDK安(ān)全问题都已不容小(xiǎo)觑，國(guó)内其他(tā)公(gōng)司的SDK也不断被爆出各种安(ān)全问题，包括一些大公(gōng)司也未幸免。

2015年11月，美國(guó)一家安(ān)全公(gōng)司称，百度开发的SDK 开发包工(gōng)具(jù)名(míng)為(wèi)“Moplus”存有(yǒu)安(ān)全漏洞，给黑客留下了后门，黑客可(kě)以在安(ān)卓手机上上传恶意程序，并且执行程序。这一漏洞可(kě)能(néng)给全球一亿部安(ān)卓手机带来安(ān)全风险。据报道，这个出现问题的SDK 开发包工(gōng)具(jù)名(míng)在共计1.4万个手机App软件中(zhōng)被使用(yòng)，其中(zhōng)的四千个由百度公(gōng)司参加开发。

2017年9月，360信息安(ān)全部的Vulpecker安(ān)全团队发现了阿里巴巴旗下國(guó)内消息推送厂商(shāng)友盟的SDK存在可(kě)越权调用(yòng)未导出组件的漏洞，并利用(yòng)该漏洞实现了对使用(yòng)了友盟SDK的APP任意组件的恶意调用(yòng)、任意虚假消息通知、遠(yuǎn)程代码执行等攻击测试。在360显危镜后台数据库中(zhōng)，根据该含有(yǒu)漏洞版本的SDK特征值查询确认，发现约有(yǒu)3万多(duō)APP受此漏洞影响。

伴随手机应用(yòng)的日益普及且与用(yòng)户财产(chǎn)的紧密联系，移动应用(yòng)开发者在一款APP中(zhōng)往往会调用(yòng)多(duō)个第三方SDK。由于使用(yòng)带有(yǒu)恶意程序的第三方SDK造成用(yòng)户隐私信息泄露与财产(chǎn)损失的安(ān)全问题逐渐成為(wèi)社会关注的新(xīn)焦点，未来物(wù)联网必将使用(yòng)大量SDK，SDK的安(ān)全与否对于整个网络环境至关重要。