日前,央视3·15晚会报道包括氪信、招彩旺旺在内的“窃贼”SDK存在涉嫌违规收集用户个人信息问题,这些SDK在没有告知用户的前提下:
- 读取用户短信记录
- 读取用户通讯录
- 读取用户电话号码
- 读取手机串号(IMEI)
- 读取SIM卡串号(IMSI)
- 读取应用安全列表
……
SDK将包括网络交易验证码在内的敏感信息传递至第三方服务器,除造成用户隐私泄漏外,还有可能给用户造成严重经济损失。
针对此问题,梆梆安全第一时间对自身检测能力进行升级,实现对被通报SDK的精准识别。
“窃贼”SDK免费安全检测活动
本着对社会负责的态度,梆梆安全面向广大普通用户提供免费“窃贼”SDK安全检测服务,帮助开发者及时发现潜在的安全风险。
活动参与方式
(1)登录梆梆安全315专项活动网站:315.bangcle.com,提交开发者信息及待测试应用
(2)工作时间(9:00-18:00),收到测试请求,2小时内完成信息审核,对APK进行“窃贼”SDK检测并邮件告知您结果
(3)非工作时间(18:00-次日9:00),收到测试请求,在下一个工作日上午11点前完成信息审核并反馈检测结果
(4)梆梆安全提供包括应用静态风险、动态风险、合规风险等全面安全风险评估服务,如需了解,敬请联系:4008-881-881
活动时间:即日起至2020年7月31日
梆梆安全客户:两个步骤快速检测”窃贼”SDK风险
1、登录应用测评云平台提交应用进行检测
2、在检测结果中查看是否发现氪信、招彩旺旺SDK
对于梆梆安全应用合规平台/行为检测平台客户,可以检查行为日志中是否有以下特征,发现氪信、招彩旺旺SDK:
- creditx.xbehavior.sdk
- zhaocai.ad.sdk
对抗“窃贼”SDK,打造软件供应链安全
梆梆安全作为行业领先的应用安全服务商,一直非常关注软件供应链安全并提供完善解决方案。为了防止类似“窃贼”SDK的事件再次发生,开发者需要关注自身软件供应链的安全。梆梆安全在多个节点给出安全能力支持,帮助企业开发者打造软件供应链全生命周期解决方案,保障软件供应链安全。
梆梆安全在第三方引入、开发测试、渠道分发、应用运行四个节点上进行安全控制,并配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力,帮助企业建立软件供应链管理制度,保障软件供应链安全,避免出现各类违规行为,让最终用户能够安心使用企业所提供的服务。
来源:freebuf.com 2020-07-21 17:19:03 by: 梆梆安全
请登录后发表评论
注册