菏泽电子吊秤分享：2014年APP广告插件安全研究报告出炉

菏泽电子吊秤分享：2014年APP广告插件安全研究报告出炉

   导读：国内已经涌现出上百家移动广告平台，主要依靠在移动应用中集成广告插件，收取广告主的展示费来盈利。艾媒咨询《2013-2014年中国移动广告平台行业观察报告》显示，2014年中国移动广告平台市场整体规模将达到50.1亿元。尽管市场规模不断扩大，但国内移动广告平台缺乏统一的行业标准，良莠不齐，给移动安全带来了一定的风险和隐患。

　　360互联网安全中心日前发布《2014年APP广告插件安全研究报告》，针对当前安卓平台1000款热门应用中，zui流行的10款正规厂商广告插件进行了一次全面的安全性分析，数据显示，10款APP广告插件均涉及收集用户隐私信息、滥用隐私权限的情况。此外，还存在消耗手机流量、躲避安全软件检测等行为，报告提到超六成的手机流量费用或被广告插件所耗。令人担忧的是，目前市场上主流正规广告插件均存在一定安全隐患，zui严重的甚至会导致手机中毒。

　　主流广告插件存在安全漏洞可致手机中毒

　　360互联网安全中心对十款主流广告插件分析发现，共有3款插件存在两种比较危险的安全漏洞。一种安全漏洞可能会导致广告插件在自动更新过程中，下载并安装被篡改过的更新包或恶意更新包，进而使用户手机感染木马病毒并面临安全威胁。

　　而另一种安全漏洞更为危险，不法分子利用此漏洞，甚至可以在手机用户观看广告的同时将手机中的文件、通讯录、短信、账号等私密信息窃走，还可以利用这一漏洞让用户手机感染木马病毒。更为严重的是，3款存在漏洞的插件中，有1款同时存在上述两种安全漏洞。

　　十款广告插件均会收集用户敏感隐私信息

　　《报告》显示，在分析的10款广告插件中，有8款会收集用户的地理位置信息，7款会收集WiFi列表信息，4款收集安装应用列表信息，3款收集信息。所有广告插件均会全部收集用户的五类个人隐私信息：敏感隐私信息、手机*标识、联网相关信息、手机硬件配置信息和软件环境信息。

　　这意味着，手机用户的地理位置、、应用列表、手机联网方式以及硬件软件信息都会被插件厂商获取。这些信息可以让插件厂商向特定的应用推广广告，但同时，手机用户的手机使用习惯、什么时间去过什么地方等隐私信息也会泄露，不法分子*可以将手机转换为追踪设备，可谓是触目惊心。

　　一款插件zui多使用13项隐私权限

　　报告测试的10款广告插件共使用了26项权限，zui多的一款使用了13项权限，平均每款插件使用了9.6项权限。100%的插件使用了读取状态的权限，70%的插件使用了获取用户地理位置的权限。20%的插件使用了的权限，10%的插件使用了发送短信的权限。所以，在某种程度上说，目前市场上的所有主流广告插件，都存在隐私权限滥用的问题。

　　目前手机应用过度申请甚至是滥用权限的情况非常严重，为了更多接受广告，往往将插件厂商建议的权限全部声明在应用中。而过度声明则会导致在某个应用出现安全漏洞时，广告插件获取的隐私权限都可以被攻击，导致手机用户的隐私被非法获取。

　　62%的流量浪费在广告插件上

　　强推广告、干扰用户和消耗流量是广告插件主要的不良行为。《报告》指出，某些广告插件除了会在应用中显示各种类型的广告外，还会通过私自添加浏览器标签，私自添加短信记录、私自创建快捷方式等方法来强制向用户推送广告。手机广告插件主要通过全系统插屏广告和频繁推送通知栏广告干扰用户。

　　广告插件消耗用户流量分为两个方面，一是用户在下载带有广告插件的应用时，需要为广告插件消耗的流量买单，二是运行带有广告插件的应用时广告插件下载广告数据会消耗手机流量。

　　以一款手电筒应用为例，这款手电筒的安装文件大小约为2.9M；而将该应用中的所有广告插件都祛除后重新生成的文件仅为1.1M，二者相差了1.8M，有广告插件的手电筒程序是没有广告插件的手电筒程序的2.6倍。换个角度来看，就是当我们去应用商店下载这款手电筒程序，实际上约62%的流量都浪费在了广告插件上。文/本报记者 吴琳琳

　　专家建议

　　注意保护手机用户隐私数据

　　360手机安全专家建议，应用程序要合理使用隐私权限，并注意保护手机用户的隐私数据。同时，手机用户尽量从安全可靠的应用市场等下载手机软件；安装软件时，注意观察软件权限，手机恶意广告插件多通过篡改正常软件来作恶，如一个连连看游戏，出现了发短信、访问相册等与应用不相关的敏感权限，就带有恶意性质了；用具有恶意广告拦截功能的手机安全软件对广告插件进行管理。

菏泽电子吊秤分享：2014年APP广告插件安全研究报告出炉