移动广告安全现状分析 | 安云网

发表评论
817 次浏览

A+

一、引言

‍‍2012年11月28日，央视《经济信息联播》播出的节目“安卓智能手机广告存隐忧”揭露了手机广告行业存在的一些鲜为人知、但触目惊心的黑幕。不少手机用户在安装APP后，不断弹出各类广告，令人烦扰。有些APP甚至为了获取用户信息，在广告件中植入恶意代码，用于窃取用户隐私等，严重侵犯消费者利益。

时至今日，移动广告行业健康状况是否依然如故？本文将针对目前广告件发展概况做简要分析。‍‍

二、广告件发展情况

‍‍2.1市场概况‍‍

根据艾媒咨询《2013-2014年中国移动广告平台行业观察报告》数据显示，2013年中国移动广告平台市场整体规模为25.9亿元，同比增长144.3%，预计到2018年的市场规模有望达到227.1亿元。面对移动广告市场的迅速发展，移动广告数量也呈现出暴增趋势。根据AVL移动安全团队统计，2014年广告件数量达到500多万个，较2011年增长了250倍左右。图1展示了2011年-2014年每年捕获广告件的数量情况。

图1广告件数量变化

2.2盈利方式

‍‍移动广告平台通过将广告插件内置于手机APP中，实现广告的海量投放及管理，同时使开发者用户流量变现为广告收益，最终形成一个由广告主、手机广告代理商、广告平台、APP开发者、移动运营商、手机终端厂商和手机用户构成的移动广告利益链（详见图2）。‍‍

图2移动广告利益链

移动广告平台在其中扮演了在APP开发者与APP广告主之间的中间角色，通过使广告主投放的广告更加精准有效，让用户获取需要的信息，同时提升开发者的收入并从中获取分成收入而实现盈利。广告主投放广告到APP后，一般采用以下几种方式进行计费：

2.3展现形式

广告件的展现形式创新不断，从最初的横幅广告形式，向通知栏、插屏、积分墙广告不断升级。据AVL移动安全团队统计发现，目前使用通知栏、插屏方式展现广告的数量也已经超越横幅广告形式。目前广告件的主要展现形式如图3所示。

图3广告件展现形式

三、广告件分析

3.1行为特征

3.1.1上传用户信息

一些第三方广告平台在向用户推送广告的同时，额外搜集用户的个人信息并上传，虽然其目的自称为统计广告投放的地域、运营商、手机品牌等数据报表，可以帮助广告主更加了解广告受众的用户特性。但是这些手机信息都有可能给被窃取非法利用，给用户隐私带来不利影响。

据AVL移动安全团队分析统计，53%的广告件都有上传手机IMEI和IMSI的行为，19%的广告件会上传手机地理位置，15%的广告件会上传手机号码信息，同时还有恶意广告件有上传通讯录、通话记录、短信记录等重要隐私信息的恶意行为。

3.1.2其他行为类型

统计广告件其他行为时发现，占比最多的是频繁推送广告和静默下载，会给用户造成流氓推广和资费消耗。对手机安全威胁最高的行为是：伪造、拦截短信和静默安装，虽然占比小，但会给用户造成严重的经济损失。表3统计了广告件的其他行为类型及威胁等级情况。

消耗手机流量是广告件的主要行为之一。广告件除了推送广告时产生流量消耗外，广告件SDK本身体积也较大，运行时会消耗不少流量，同时发现广告SDK更新后体积会增大。甚至有些APP会内置多个广告SDK，这样就会造成用户手机流量的严重消耗。

3.2广告件家族

据AVL移动安全团队统计，使用最多的广告件家族是来自Google的Admob和国内的Waps。图4展示使用最多广告件家族TOP10，及其对应APP总数以及含有恶意代码的APP数量。

图4广告件家族情况

3.3申请权限

广告SDK中往往会申请过多权限，可能导致权限滥用。比如，广告SDK中获取的隐私权限会导致手机用户的隐私被非法获取。统计以上十大广告件家族所使用权限情况后，AVL移动安全团队发现国外广告使用权限在3-4个左右，而国内广告SDK则使用权限平均都在6个左右。表4统计以上十大广告家族所申请的权限情况：

从表4的统计数据来看，对用户可能造成较大安全威胁的权限有：

1)RECORD_AUDIO此权限可让该应用随时进行录音。

2)CAMERA此权限可让该应用随时使用相机，而无需您的确认。

3)ACCESS_COARSE_LOCATION应用会使用此类服务确定您的大概位置。

4)INSTALL_SHORTCUT应用可在桌面上任意安装快捷方式。

5)SYSTEM_ALERT_WINDOW可在其他程序上显示窗口，有流氓推广的嫌疑。

四、恶意广告件分析

4.1恶意行为类型

广告件的恶意行为类型分布比较广泛，几乎涵盖所有恶意类型。其中以频繁推送、私自下载造成的资费消耗最为典型。另外，恶意扣费、远程控制、隐私窃取等行为在后台执行，导致用户较难发现。（《广告件小结》一文详细介绍了广告件中的恶意行为。）

图5广告件恶意行为类型

4.2新兴推广方式

在分析2014年恶意代码过程中，AVL移动安全团队看到一个新趋势：为提升推广效果，大量恶意APP以色情内容为诱饵，不断推送各种广告，从中牟取APP推广费用。详情可参考《2014年移动恶意色情应用研究报告》。

五、实例：广告SDK典型恶意行为

移动广告平台大小不一，良莠不齐，他们提供的广告SDK没有统一的行业标准，给移动安全带来了一定的风险和隐患。以下举例说明当前广告SDK包含的典型恶意行为。

5.1聚合数据SDK

2014年11月初，媒体曝光iOS版本聚合数据SDK会偷偷上传用户通讯录至服务器，随后AVL移动安全团队对比分析Android版本SDK时发现，其同样具有窃取通讯录行为，并且在“聚合数据SDK简介”中并未对获取通讯录行为做任何说明。

虽然聚合数据已经在新版中更新了SDK，删掉了相应获取上传通讯录的代码（详见表5）。但是产品端更新SDK是个漫长的过程，旧版的SDK仍然在收集用户通讯录，而且聚合数据服务器上用于接收上传的通讯录的接口并没有被删掉，仍然能正常处理数据。

5.2Counterclank广告SDK

Counterclank广告SDK会创建大量桌面快捷方式，修改用户浏览器书签，并获取手机设备等信息，同时修改手机的默认浏览器主页。详细代码截图如下：

图6创建桌面快捷方式

图7添加浏览器书签

5.3Ju6广告SDK

Ju6广告SDK会上传用户信息，如IMEI、IMSI、手机号、地理位置信息等，获取广告信息，采用插入短彩信方式弹出广告，能够伪造短彩信推广广告，给用户造成一定的骚扰。详细代码截图如下：

图8伪造短信

图9伪造彩信

5.4Adtraffic广告SDK

Adtraffic广告可能会在收件箱插入垃圾短信，后台发送短信，拦截短信。详细代码截图如下：

图10拦截特定短信

欢迎关注我们的微信公众号AVLTeam，我们会定期发布一些移动安全相关资讯，希望能够对您有所帮助。

我的微信
这是我的微信扫一扫

我的微信公众号
我的微信公众号扫一扫