免费检测 梆梆安全提供315曝光”窃贼”SDK检测服务 – 作者:梆梆安全

日前，央视3·15晚会报道包括氪信、招彩旺旺在内的“窃贼”SDK存在涉嫌违规收集用户个人信息问题，这些SDK在没有告知用户的前提下：

• 读取用户短信记录
• 读取用户通讯录
• 读取用户电话号码
• 读取手机串号（IMEI）
• 读取SIM卡串号（IMSI）
• 读取应用安全列表

……

SDK将包括网络交易验证码在内的敏感信息传递至第三方服务器，除造成用户隐私泄漏外，还有可能给用户造成严重经济损失。

针对此问题，梆梆安全第一时间对自身检测能力进行升级，实现对被通报SDK的精准识别。

“窃贼”SDK免费安全检测活动

本着对社会负责的态度，梆梆安全面向广大普通用户提供免费“窃贼”SDK安全检测服务，帮助开发者及时发现潜在的安全风险。

活动参与方式

（1）登录梆梆安全315专项活动网站：315.bangcle.com，提交开发者信息及待测试应用

（2）工作时间（9:00-18:00），收到测试请求，2小时内完成信息审核，对APK进行“窃贼”SDK检测并邮件告知您结果

（3）非工作时间（18:00-次日9:00），收到测试请求，在下一个工作日上午11点前完成信息审核并反馈检测结果

（4）梆梆安全提供包括应用静态风险、动态风险、合规风险等全面安全风险评估服务，如需了解，敬请联系：4008-881-881

活动时间：即日起至2020年7月31日

梆梆安全客户：两个步骤快速检测”窃贼”SDK风险

1、登录应用测评云平台提交应用进行检测

2、在检测结果中查看是否发现氪信、招彩旺旺SDK

对于梆梆安全应用合规平台/行为检测平台客户，可以检查行为日志中是否有以下特征，发现氪信、招彩旺旺SDK：

• creditx.xbehavior.sdk
• zhaocai.ad.sdk

对抗“窃贼”SDK，打造软件供应链安全

梆梆安全作为行业领先的应用安全服务商，一直非常关注软件供应链安全并提供完善解决方案。为了防止类似“窃贼”SDK的事件再次发生，开发者需要关注自身软件供应链的安全。梆梆安全在多个节点给出安全能力支持，帮助企业开发者打造软件供应链全生命周期解决方案，保障软件供应链安全。

梆梆安全在第三方引入、开发测试、渠道分发、应用运行四个节点上进行安全控制，并配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力，帮助企业建立软件供应链管理制度，保障软件供应链安全，避免出现各类违规行为，让最终用户能够安心使用企业所提供的服务。

来源：freebuf.com 2020-07-21 17:19:03 by: 梆梆安全