简体中文
简体中文
English
注册
登录开发者平台
解决方案
行业解决方案
提供从智慧客房、智慧前台到智慧运营等酒店全场景品牌赋能,推进酒店行业数智化变革
一站式智慧照明系统解决方案,赋能企业快速实现人因照明、节能减排的智能化照明升级
综合应用智能化信息,令楼宇具有智慧和生命力,提供投资合理、安全高效、舒适便利的使用空间
快速实现数字化智慧办公空间,有效实现企业增效、降本和节能。
为连锁型品牌商业门店提供完善的管理系统, 提升门店效率
提供从租控授权、租务运营到园区管理等全方位租住解决方案,驱动租住行业智慧转型
融合全屋智能、地产社区等行业场景能力,提供居住空间丰富的产品矩阵和智能体验
IoT 助力校园场景智能化转型, 提升管理效率
全方位赋能开发者实现多场景智慧节能管理解决方案
以 IoT 平台助力中小制造企业, 实现降本、提质、增效
借助丰富硬件生态,一站式构建安全可靠私有化智能平台
为你的业务场景提供全面的 AI 服务及 AI Copilot 开发方案
海量成熟方案,超低研发门槛,极速落地产品智能化
开发者
与志同道合的开发者和专家共同交流
从初创企业到全球领先企业,涂鸦开发者平台协助实现客户成功。
快速获取并体验优秀的开发者案例产品
服务与支持
生态合作
成为涂鸦服务商,接入涂鸦的另一个选择,帮助更多开发者更快实现智能化
智能互联标识
携手开发者生态合作伙伴联合创新,持续创造互联互通商业价值
聚焦产业变革, 推动人工智能产业发展
智联万物,商者无界
安全与合规
严格遵守国内外信息安全标准和行业要求
诚邀安全业界同仁共同打造和维护物联网健康生态
支持
提供产品智能化开发全链路的常见问答
7×24一对一客服咨询
技术指导、故障修复以及问题解决
关于我们
全球化云开发者平台
探索涂鸦的故事
了解涂鸦的全球视野
涂鸦智能-产品解决方案|行业解决方案|全球智能化平台
涂鸦诚聘全球精英
关于第三方SDK自动化安全问题探讨
形状
352

图片104图片104

App已经深入用户生活,各种App应用迅速普及,在促进经济社会发展、服务民生等方面发挥了重要作用。随着市场的快速迭代和技术的不断创新,App开发者经常嵌入第三方SDK(Software development Kit,软件开发工具包),以提高产品研发效率,降低成本。

SDK的主要类型有以下几类:框架、广告、推送、统计、地图、第三方登陆、社交、支付、客服、测试、安全风险控制、Crash监控、人脸识别、语音识别、短信验证、基本功能等。各种应用平均使用第三方SDK10个以上。

SDK依附于大量渗透到各个行业的应用程序中,SDK的生命周期取决于应用程序的生命周期。

SDK本身没有运行能力,必须等待宿主App调用才能实现,完成具体功能。

第三方SDK无疑给应用程序开发人员带来了极大的便利,但与此同时,SDK的安全性和合规性也逐渐泄露,SDK收集个人信息和安全性也引起了各方的关注。自2019年以来,各监管机构以SDK非法收集个人信息为重点审查对象之一。

SDK安全检测。

被测到的SDK可以以Jar、aar、zip、so等形式单独存在,也可以集成到具体应用中。在掌握全面移动安全风险信息的前提下,对SDK进行检测。检测过程主要分为三个步骤:预处理、特征扫描和数据处理。

首先,对应用程序安装包或SDK包进行反编译,获取代码文件;

然后扫描反编译后的代码文件的特征,找到相应的符号特征信息,并与国家漏洞信息库完整匹配,记录漏洞的特征信息、代码位置和风险信息;

最后,整合和处理特征扫描生成的漏洞信息数据集,生成检测报告,并显示具体的安全风险问题、漏洞位置、维修建议等。

SDK在开发过程中注重功能实现,忽视了安全性,导致SDK本身存在安全漏洞。这些漏洞可以被恶意攻击者利用,损害大量嵌入SDK的应用程序及其最终用户的数据和隐私安全。我们对市场上的主流应用程序和SDK进行了测试和分析。与第三方SDK相关的漏洞安全包括:编码规范测试、发布规范测试、代码安全测试、环境安全审计测试、组件安全测试、数据安全测试、安全漏洞测试7个层次和60多个潜在的安全风险。

应用程序中嵌入的第三方SDK越多,安全漏洞涉及的范围就越广。应用程序开发人员应谨慎使用第三方SDK。值得一提的是,有一种SDK利用动态加载技术远程控制恶意代码执行。由于恶意代码在本地不存在,因此在执行过程中被下载到本地执行。它逃脱了杀毒软件的扫描,隐蔽性很强,对最终用户造成了很大的伤害。

免责声明:凡注明来源的文章均转自其它平台,目的在于传递有价值的AIoT内容资讯,并不代表本站观点及立场。若有侵权或异议,请联系我们处理。
即刻开启您的物联网之旅
即刻开启 您的物联网之旅
遇到问题了么?联系专属客户经理在线解答