V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
hugedeffing
V2EX  ›  分享创造

开源工具, Coeus-Android SDK 安全审计,隐私政策安全信息一览无余 工具能够在集成之前进行安全审计,便可以避免使用第三方危险的 SDK,保证自身 SDK 安全

  •  
  •   hugedeffing · 2019-12-30 16:42:08 +08:00 · 2974 次点击
    这是一个创建于 1776 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Coeus-Android SDK 安全审计,隐私政策安全信息一览无余

    Android SDK

    sdk (软件开发工具包)软件开发工具包是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的**,它可以为某个程序设计语言提供应用程序功能接口。

    Andorid SDK,即为在 Android 系统中,为辅助移动应用软件( APP )的相关文档、工具的**。对于移动 APP 开发者来说,为了提高开发效率,或者引用其他三方功能如支付、扫码、注册等,往往会集成不同的第三方 SDK 工具包。现如今,APP 开发者使用第三方 SDK 已经成为普遍现象,实际上,SDK 作为服务提供商提供的手段,也已经成为目前主流的集成方式。例如百度地图 SDK、微博登录 SDK、个推 SDK、腾讯 Bugly、友盟 SDK 等,均为市面上广泛使用的 SDK。

    移动 SDK 现状:

    曾有相关专业 IT 人员对 15 个类别、1000 多款主流 App 使用第三方 SDK 的统计分析结果显示,App 使用最为广泛的第三方 SDK 类型为第三方登录分享类、推送类、数据统计类 SDK,以及一些基础库(例如:GSON、OkHttp、EventBus 等),且所有 APP 均使用过第三方服务提供的 SDK。

    图源自: https://www.luoxudong.com/225.html

    移动 SDK 安全现状

    尽管第三方 SDK 被广泛使用,可对于 SDK 使用者即 APP 开发者来说,第三方 SDK 是为黑盒存在,APP 开发者是无法得知其中的详细代码流程及开发流程。这导致,在 APP 开发完毕之后,SDK 成为 APP 开发者遗忘以及忽略的环节。

    例如,今年上半年,中国某科技企业被曝光利用 SDK 隐瞒收集用户联系人信息、QQ 登录信息、位置信息,该 SDK 存在于第三方商店提供的多达 12 个 Android 应用程序中,受感染的应用程序已下载至少 1.11 亿次

    通过分析,不难查看出该 SDK 的部分内容:

    1.不必要的权限

    2 . 隐私信息获取(图为收集 QQ 登录信息)

    3.隐藏后台发送

    以上图片资料均源自: https://research.checkpoint.com/2019/operation-sheep-pilfer-analytics-sdk-in-action/

    不难看出,由于第三方的 SDK 侧重于功能性,导致 App 开发者在使用第三方 SDK 时,完全忽略其安全性,使其可以搜集隐私信息,或借助合法 App 执行恶意操作!如果存在工具能够在集成之前进行安全审计,便可以避免使用第三方危险的 SDK,保证自身 SDK 安全。

    Coeus 安全审计工具

    0x01 项目地址

    github 项目地址: https://github.com/wulio/Coeus

    0x02 依赖环境

    python 3.x / java

    0x03 安装使用教程

    安装 :git clone https://github.com/wulio/Coeus.git

    一键扫描:python coeus.py xxx.aar

    0x04 相关说明

    相关政策代码及隐私代码检测策略,均在 scrpit 文件夹中,json 格式便于添加与修改

    相应的工具也存储在 tool 文件夹下

    具体代码逻辑均可在项目组查看。

    生成的扫描文件,输出在 result 文件夹下,分别有对应的 log 文件和输出的 report.xml 文件。

    0x05 使用示例

    一键运行 python getui_2.13.3.0-gisdk_3.1.9.1-gssdk_2.3.0.0.aar

    getui_2.13.3.0-gisdk_3.1.9.1-gssdk_2.3.0.0.aar 为个推官网最新 SDK,可于个推官网下载。http://docs.getui.com/download.html

    打开对应的 result.xml 文件:

    部分截图如下:

    可以看到文件将 sdk 违反政策相关以及部分安全问题代码均有展示,更多详细信息可以于项目 project,result/xxx/report.xml 中查看。

    总结

    作为 Coeus 的开发者,后续将会持续更进该项目的开发与更新,欢迎使用及 star~

    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2614 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:52 · PVG 10:52 · LAX 18:52 · JFK 21:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.