10月24日消息,360互联网安全中心发布《2014年APP广告插件安全研究报告》(以下简称报告)。报告中指出,在测试的10款广告插件中,有3款存在安全漏洞,占比达到30%。360手机安全专家表示,所谓的安全漏洞本身可能是插件厂商预留,目的是可以远程控制插件,但由于缺乏有效的验证机制,这些后门很可能被攻击者利用。
有数据显示,截止2014年6月,手机网民规模达5.27亿,移动终端已经成为一种重要的媒介,它渗透进人们的生活中并影响越来越深。这一点从移动广告的增长趋势就可见一斑:根据艾媒咨询数据显示,2013年中国移动广告平台市场整体规模为25.9亿元,同比增长144.3%,2014年将达到50.1亿元。到2018年的市场规模有望达到227.1亿元。
移动广告规模的快速增长也让上百家移动广告平台涌现出来,依靠在应用中植入广告插件,收取广告费用来盈利。但由于移动互联网增长速度太快,这些平台的规模大小不一,提供的插件质量也良莠不齐。而且缺乏统一的监管办法,这也让广告插件成为手机中的“定时炸弹”,随时有威胁手机安全的可能。
《报告》指出,在此次测试的10款广告插件中,有3款被检测出存在动态加载校验漏洞,这3款存在漏洞的插件中,还有一款存在Javascript代码任意执行漏洞。此外,米迪,D.push,appquanta.com这三个广告插件虽然未在TOP10的广告插件中,但也具有很大的影响力,也存在上述安全漏洞。
360手机安全专家在接受记者采访时表示,动态加载校验漏洞不会对下载应用的数字签名进行校验,因此很可能在更新时下载并安装被篡改过的更新包或恶意更新包,进而使用户手机感染木马病毒并面临安全威胁。
而Javascript是一种脚本语言,不少广告插件就是使用这种语言编写而成。但是,由于Javascript代码具有一定的本地执行能力,如果不对Javascript代码的安全性进行任何校验就直接运行,则可能导致恶意编写的Javascript代码被执行,进而使手机遭到攻击甚至感染木马病毒。
这两类安全漏洞都会对手机造成严重的安全隐患,而且手机木马的作案目标往往是支付应用、网银这种直接与金钱挂钩的软件。这些软件一旦被木马攻破,就很有可能造成经济损失。对此360手机安全专家表示,360手机卫士可以对当前最新的木马病毒进行查杀拦截,此外还可以对广告插件进行管理,以免出现不必要的安全隐患。
《2014年APP广告插件安全研究报告》报告全文:
http://yunpan.cn/csHPc3qf8jrDU