2014年APP广告插件安全研究报告

摘要

　　为了检验广告插件的安全性，本次报告针对当前安卓平台1000款热门应用中，最流行的10款正规厂商广告插件进行了一次全面的安全性分析。
　　安全分析内容主要包括：安全漏洞与风险分析、用户信息收集状况分析、权限使用状况分析三个方面。
　　在本次安全分析的10款广告插件中，共有3款插件存在安全漏洞，其中1款同时存在动态加载校验漏洞和Javascript代码任意执行两种安全漏洞，另外2款存在动态加载校验漏洞。
　　在用户信息收集状况分析方面，所有10款广告插件均涉及收集用户敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息、软件环境信息的情况。
　　在权限使用状况分析方面，发现100%广告插件都存在滥用权限情况。100%的插件使用了读取电话状态的权限，70%的插件使用了获取用户地理位置的权限。20%的插件使用了拨打电话的权限，10%的插件使用了发送短信的权限。
　　另据360互联网安全中心检测发现，广告插件还存在强制推送广告、干扰用户、消耗流量、躲避检测等不良行为。


关键词：广告插件、安全漏洞、收集用户信息、滥用权限

移动广告安全状况综述...............................................................................................................1
第一章 安全漏洞与风险分析 .....................................................................................................2
一、 动态加载校验漏洞.........................................................................................................2
二、 JAVASCRIPT 代码任意执行漏洞.........................................................................................4
三、 安全漏洞与风险分析结果 .............................................................................................6
第二章 用户信息收集分析.........................................................................................................7
一、 用户信息分析.................................................................................................................7
二、 用户信息收集状况分析结果 .......................................................................................10
第三章 权限使用分析...............................................................................................................11
第四章 不良行为举例...............................................................................................................14
一、 强推广告.......................................................................................................................14
二、 干扰用户.......................................................................................................................15
三、 消耗流量.......................................................................................................................16
四、 躲避检测.......................................................................................................................19
第五章 安全建议 ......................................................................................................................20
一、 用户信息获取的四项基本原则 ...................................................................................20
二、 给用户的建议...............................................................................................................20
附录 ANDROID 系统权限说明 ..................................................................................................21