广告件安全现状分析

1、引言

2012 年 11 月 28 日，央视《经济信息联播》播出的节目“安卓智能手机广告存隐忧”揭露了手机广告行业存在的一些不为人知、但触目惊心的黑幕。很多手机用户在安装APP后，不断弹出各种广告，使人烦扰。有些APP甚至为了获取用户信息，在广告件中植入恶意代码，用于窃取用户隐私等，严重侵犯消费者利益。

时至今日，移动广告行业健康情况是否依然如故？本文将针对目前广告件发展概况作简要分析。

2、广告件发展状况

2.1 市场概况

根据艾媒咨询《2013-2014年中国移动广告平台行业观察报告》数据显示，2013年中国移动广告平台市场总体规模为25.9亿元，同比增加144.3%，预计到2018 年的市场规模有望达到 227.1 亿元。面对移动广告市场的迅速发展，移动广告数量也呈现出暴增趋势。根据AVL移动安全团队统计，2014年广告件数量达到500多万个，较2011年增加了250倍左右。图1展现了2011年-2014年每一年捕获广告件的数量状况。

图1 广告件数量变化

2.2 盈利方式

移动广告平台经过将广告插件内置于手机APP中，实现广告的海量投放及管理，同时使开发者用户流量变现为广告收益，最终造成一个由广告主、手机广告代理商、广告平台、APP开发者、移动运营商、手机终端厂商和手机用户构成的移动广告利益链（详见图2）。

图2 移动广告利益链

移动广告平台在其中扮演了在APP开发者与APP广告主之间的中间角色，经过使广告主投放的广告更加精准有效，让用户获取须要的信息，同时提高开发者的收入并从中获取分红收入而实现盈利。广告主投放广告到APP后，通常采用如下几种方式进行计费：

2.3 展示形式

广告件的展示形式创新不断，从最初的横幅广告形式，向通知栏、插屏、积分墙广告不断升级。据AVL移动安全团队统计发现，目前使用通知栏、插屏方式展示广告的数量也已经超越横幅广告形式。目前广告件的主要展示形式如图3所示。

图3 广告件展示形式

3、广告件分析

3.1 行为特征

3.1.1 上传用户信息

一些第三方广告平台在向用户推送广告的同时，额外搜集用户的我的信息并上传，虽然其目的自称为统计广告投放的地域、运营商、手机品牌等数据报表，能够帮助广告主更加了解广告受众的用户特性。可是这些手机信息都有可能给被窃取非法利用，给用户隐私带来不利影响。

据AVL移动安全团队分析统计，53%的广告件都有上传手机IMEI和IMSI的行为，19%的广告件会上传手机地理位置，15%的广告件会上传手机号码信息，同时还有恶意广告件有上传通信录、通话记录、短信记录等重要隐私信息的恶意行为。

3.1.2 其余行为类型

统计广告件其余行为时发现，占比最多的是频繁推送广告和静默下载，会给用户形成流氓推广和资费消耗。对手机安全威胁最高的行为是：伪造、拦截短信和静默安装，虽然占比小，但会给用户形成严重的经济损失。表3统计了广告件的其余行为类型及威胁等级状况。

消耗手机流量是广告件的主要行为之一。广告件除了推送广告时产生流量消耗外，广告件SDK自己体积也较大，运行时会消耗很多流量，同时发现广告SDK更新后体积会增大。甚至有些APP会内置多个广告SDK，这样就会形成用户手机流量的严重消耗。

3.2 广告件家族

据AVL移动安全团队统计，使用最多的广告件家族是来自Google的Admob和国内的Waps。图4展现使用最多广告件家族TOP10，及其对应APP总数以及含有恶意代码的APP数量。

图4 广告件家族状况

3.3 申请权限

广告SDK中每每会申请过多权限，可能致使权限滥用。好比，广告SDK中获取的隐私权限会致使手机用户的隐私被非法获取。统计以上十大广告件家族所使用权限状况后，AVL移动安全团队发现国外广告使用权限在3-4个左右，而国内广告SDK则使用权限平均都在6个左右。表4统计以上十大广告家族所申请的权限状况：

从表4的统计数据来看，对用户可能形成较大安全威胁的权限有：

1)RECORD_AUDIO 此权限可以让该应用随时进行录音。

2)CAMERA 此权限可以让该应用随时使用相机，而无需您的确认。

3)ACCESS_COARSE_LOCATION 应用会使用此类服务肯定您的大概位置。

4)INSTALL_SHORTCUT 应用可在桌面上任意安装快捷方式。

5)SYSTEM_ALERT_WINDOW 可在其余程序上显示窗口，有流氓推广的嫌疑。

4、恶意广告件分析

4.1 恶意行为类型

广告件的恶意行为类型分布比较普遍，几乎涵盖全部恶意类型。其中以频繁推送、私自下载形成的资费消耗最为典型。另外，恶意扣费、远程控制、隐私窃取等行为在后台执行，致使用户较难发现。（《广告件小结》一文详细介绍了广告件中的恶意行为。）

图5 广告件恶意行为类型

4.2 新兴推广方式

在分析2014年恶意代码过程当中，AVL移动安全团队看到一个新趋势：为提高推广效果，大量恶意APP以色情内容为诱饵，不断推送各类广告，从中牟取APP推广费用。详情可参考《2014年移动恶意色情应用研究报告》。

5、实例：广告SDK典型恶意行为

移动广告平台大小不一，参差不齐，他们提供的广告SDK没有统一的行业标准，给移动安全带来了必定的风险和隐患。如下举例说明当前广告SDK包含的典型恶意行为。

5.1 聚合数据SDK

2014年11月初，媒体曝光iOS版本聚合数据SDK会偷偷上传用户通信录至服务器，随后AVL移动安全团队对比分析Android版本SDK时发现，其一样具备窃取通信录行为，而且在“聚合数据SDK简介”中并未对获取通信录行为作任何说明。

虽然聚合数据已经在新版中更新了SDK，删掉了相应获取上传通信录的代码（详见表5）。可是产品端更新SDK是个漫长的过程，旧版的SDK仍然在收集用户通信录，并且聚合数据服务器上用于接收上传的通信录的接口并无被删掉，仍然能正常处理数据。

5.2 Counterclank广告SDK

Counterclank广告SDK会建立大量桌面快捷方式，修改用户浏览器书签，并获取手机设备等信息，同时修改手机的默认浏览器主页。 详细代码截图以下：

图6 建立桌面快捷方式

图7 添加浏览器书签

5.3 Ju6广告SDK

Ju6广告SDK会上传用户信息，如 IMEI、IMSI、手机号、地理位置信息等，获取广告信息，采用插入短彩信方式弹出广告，可以伪造短彩信推广广告，给用户形成必定的骚扰。 详细代码截图以下：

图8 伪造短信

图9 伪造彩信

5.4 Adtraffic广告SDK

Adtraffic广告可能会在收件箱插入垃圾短信，后台发送短信，拦截短信。 详细代码截图以下：

图10 拦截特定短信

AVL移动安全团队专一于移动互联网安全技术研究及反病毒引擎研发，提供强大的移动安全解决方案。欢迎关注咱们的微信公众号AVLTeam，咱们会按期发布一些移动安全相关资讯，但愿可以对您有所帮助。 转载请注明来源：http://blog.avlyun.com/?p=2079