在分析流行的约会应用时,卡巴斯基实验室研究人员发现有些应用通过不安全的HTTP协议传输未加密的用户数据,造成用户数据泄露的风险。
在分析流行的约会应用时,卡巴斯基实验室研究人员发现有些应用通过不安全的HTTP协议传输未加密的用户数据,造成用户数据泄露的风险。这是因为很多应用使用了第三方的可以随时投递广告的SDK,而这些SDK则是一些最流行的广告网络的一部分。涉及的应用包括一些全球安装量有数十亿的应用,一旦出现严重的安全漏洞,意味着隐私数据可能被拦截、修改并用于进一步攻击,导致很多用户无法防御。
SDK是一套开发工具,通常免费发行,能够让软件作者专注于应用的主要元素,将其他功能交给现成的SDK来完成。开发热源经常使用第三方代码,通过重新使用现有的功能来创建部分应用来节省时间。例如,广告SDK会收集用户数据以显示相关广告,这样能够帮助开发人员让自己的产品变现。该工具会将用户数据发送到流行的广告网络域名,以便进行更具针对性的广告展示。
但是对一些应用程序的深度分析显示,这些数据是通过HTTP协议在未加密的形式下发送的,这意味着其在传输到服务器时未得到保护。由于没有加密,数据可能被任何人拦截,例如通过未受保护的Wi-Fi网络,或者被互联网服务提供商拦截,或者通过家用路由器上的恶意软件拦截。更糟的是,截获的数据还能够被更改,意味着应用程序会显示恶意广告,而非合法广告。引诱用户下载推广的应用程序,而这些程序可能是恶意软件,从而导致用户面临风险。
卡巴斯基实验室研究人员在内部的安卓沙盒中检测了应用程序的日志和网络流量,以揭示哪些应用程序通过HTTP将未加密的用户数据传输到网络。他们发现了多个主要域名,其中大多数都属于常见广告网络的一部分。使用这种SDK的应用程序总数达到几十亿,其中大多数应用程序会以未加密的方式传输以下至少一项数据:
- 个人信息,大多包括用户的姓名、年龄和性别。有些甚至还包括用户的收入。用户的电话号码和邮箱地址也可能泄露(根据卡巴斯基实验室的另一项研究,人们会在约会应用上分享很多个人信息)。
- 设备信息,例如设备的制造商、型号、屏幕分辨率、系统版本以及应用名称
- 设备位置
“最初我们认为只是一些设计粗心的应用程序存在这一情况,但真正受影响的应用程序规模让人难以置信。数百万使用了第三方SDK的应用暴露用户隐私数据,很容易被拦截或修改,从而导致恶意软件感染、敲诈和其它高效的攻击媒介,”卡巴斯基实验室安全研究员Roman Unuchek说。
卡巴斯基实验室研究人员建议用户采取以下措施:
- 检查所使用应用的权限。如果不了解这些应用,请不要赋予它们访问权限。大多数应用不需要访问你的地理位置信息,所以不要赋予它们这些权限。
- 使用VPN。它会对您的设备和服务器之间的网络流量进行加密。但是,其在VPN服务器上面仍是未加密的,但是至少降低了此过程中的数据泄露风险。
想要了解更多有关第三方SDK的详情,请阅读我们在Scurelist.com上发表的博文。
