具備強大功能的第三方SDK，廣泛的應用在大量AndroidAPP的設計開發階段，成為整個Android軟件供應鏈中不可或缺的一部分。但這也同時意味著，一旦處于供應鏈上游環節的SDK失守，不僅給大量Android應用帶來安全隱患，更會影響無數用戶的網絡安全。

7月25日，騰訊安全反詐騙實驗室發布《網絡安全新常態下Android應用供應鏈安全探秘》（下簡稱報告）。報告指出，第三方SDK安全事件是Android供應鏈中頻發的安全事件，這類攻擊大多采用了白簽名繞過查殺體系的機制，其行為也介于黑白之間，從影響用戶數來說遠超一般的漏洞利用類攻擊。尤其對于接入SDK數量最多的金融類APP而言，潛伏著巨大隱患，亟需提高警惕。

統計分析類SDK 集成比例最高  金融類型APP平均使用超20個SDK

第三方SDK包括廣告、支付、統計、社交、推送，地圖等類別，是廣告商、支付公司、社交、推送平臺，地圖服務商等第三方服務公司為了便于應用開發人員使用其提供的服務而開發的工具包，封裝了一些復雜的邏輯實現以及請求，響應解析的API，由于其使用的廣泛性，一旦出現安全問題并且被黑客利用，其影響范圍之廣，危害之大不言而喻。

報告針對應用市場上各類型應用TOP 100使用的第三方SDK情況進行分析，發現各類SDK在應用中的集成比例從高到低依次為統計分析類、廣告類、社交類、支付類、位置類、推送類。不難發現，被廣泛使用的SDK直接和用戶的移動支付安全、地理隱私等關系密切。

（SDK類別被集成比例）

而各種類型的APP在第三方SDK使用數量方面，金融借貸類平均使用的SDK數量最多，達到21.5，緊隨其后是新聞類APP，平均數量為21.2；往后是購物類、社交類、銀行類和游戲類，平均數量都超過15個；再后面的則是出行類、辦公類和安全工具類，平均使用的SDK數量相對較少，分別為11.4、9.7和6.7。

（各類應用平均集成SDK的個數）

從報告統計得到的數據可以看到，Android應用在開發時都集成使用了數目眾多的第三方SDK，尤其是金融借貸類、購物類、銀行類等涉及用戶身份信息和財產安全的應用，使用的第三方SDK數量普遍在15個以上，最多的甚至達到30多個。

報告指出，這些應用集成的第三方SDK中，不僅包含大廠商提供的SDK，而且還包含很多開源社區提供的SDK，這些SDK的安全性都沒有得到很好的驗證，一旦發生安全問題，將直接危害用戶的隱私和財產安全，造成嚴重的后果。

第三方SDK安全“內憂外患”  “寄生推”SDK事件揭示惡意開發者已滲入

第三方SDK的安全堪稱“內憂外患”。除了生來就瞄準獲取用戶隱私信息的惡意SDK之外；SDK自身存在的漏洞如果被不法分子利用，攻擊者就能夠利用SDK本身存在的強大功能發動惡意的攻擊行為，例如在用戶毫無察覺的情況下打開相機拍照，通過發送短信盜取雙因素認證令牌，或將設備變成僵尸網絡的一部分。

報告總結了近幾年Android平臺發生第三方SDK安全事件，發現其安全問題主要發生在三個方面：首先，第三方SDK的開發者的安全能力水平參差不齊，且眾多第三方SDK的開發者側重于功能的實現，在安全方面的投入不足，導致第三方SDK中可能存在著這樣或那樣的安全漏洞。近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等，由于其被廣泛集成到大量的APP中，漏洞的影響范圍非常大。

其次，部分SDK開發者出于某種目的，在其開發的SDK中預留了后門用于收集用戶信息和執行越權操作；再次，部分惡意開發者滲入了SDK開發環節，以提供第三方服務的方式吸引其他APP應用開發者來集成他們的SDK。借助這些合法應用，惡意的SDK可以有效地躲避大部分應用市場和安全廠商的檢測，影響大量用戶的安全。

今年4月，騰訊安全反詐騙實驗室的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發工具包（SDK）——“寄生推”，它通過預留的“后門”云控開啟惡意功能，私自ROOT用戶設備并植入惡意模塊，進行惡意廣告行為和應用推廣，以實現牟取灰色收益。300多款知名應用遭遇“寄生推”的病毒感染，其中不乏用戶超過千萬的巨量級軟件，潛在影響用戶超2000萬。

“寄生推”SDK的爆發反映出，惡意軟件作者正越來越多地利用用戶與軟件供應商間的固有信任，通過層出不窮的攻擊手法投遞惡意載體，造成難以估量的損失。對此，報告呼吁，在應對應用供應鏈攻擊的整個場景中，需要手機廠商、應用開發者、應用市場、安全廠商、普通用戶等各主體積極參與、通力合作，才能構建Android應用供應鏈的安全生態。