2014年APP广告插件安全研究报告
摘要为了检验广告插件的安全性,本次报告针对当前安卓平台1000款热门应用中,最流行的10款正规厂商广告插件进行了一次全面的安全性分析。
安全分析内容主要包括:安全漏洞与风险分析、用户信息收集状况分析、权限使用状况分析三个方面。
在本次安全分析的10款广告插件中,共有3款插件存在安全漏洞,其中1款同时存在动态加载校验漏洞和Javascript代码任意执行两种安全漏洞,另外2款存在动态加载校验漏洞。
在用户信息收集状况分析方面,所有10款广告插件均涉及收集用户敏感隐私信息、手机唯一标识、联网相关信息、手机硬件配置信息、软件环境信息的情况。
在权限使用状况分析方面,发现100%广告插件都存在滥用权限情况。100%的插件使用了读取电话状态的权限,70%的插件使用了获取用户地理位置的权限。20%的插件使用了拨打电话的权限,10%的插件使用了发送短信的权限。
另据360互联网安全中心检测发现,广告插件还存在强制推送广告、干扰用户、消耗流量、躲避检测等不良行为。
static/image/hrline/1.gif
关键词:广告插件、安全漏洞、收集用户信息、滥用权限
http://bbs.masterchat.cn/static/image/hrline/1.gif
移动广告安全状况综述...............................................................................................................1
第一章 安全漏洞与风险分析 .....................................................................................................2
一、 动态加载校验漏洞.........................................................................................................2
二、 JAVASCRIPT 代码任意执行漏洞.........................................................................................4
三、 安全漏洞与风险分析结果 .............................................................................................6
第二章 用户信息收集分析.........................................................................................................7
一、 用户信息分析.................................................................................................................7
二、 用户信息收集状况分析结果 .......................................................................................10
第三章 权限使用分析...............................................................................................................11
第四章 不良行为举例...............................................................................................................14
一、 强推广告.......................................................................................................................14
二、 干扰用户.......................................................................................................................15
三、 消耗流量.......................................................................................................................16
四、 躲避检测.......................................................................................................................19
第五章 安全建议 ......................................................................................................................20
一、 用户信息获取的四项基本原则 ...................................................................................20
二、 给用户的建议...............................................................................................................20
附录 ANDROID 系统权限说明 ..................................................................................................21
static/image/hrline/1.gif
页:
[1]