开源工具, Coeus-Android SDK 安全审计,隐私政策安全信息一览无余 工具能够在集成之前进行安全审计,便可以避免使用第三方危险的 SDK,保证自身 SDK 安全

2019-12-30 16:42:08 +08:00
 hugedeffing

Coeus-Android SDK 安全审计,隐私政策安全信息一览无余

Android SDK

sdk (软件开发工具包)软件开发工具包是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的**,它可以为某个程序设计语言提供应用程序功能接口。

Andorid SDK,即为在 Android 系统中,为辅助移动应用软件( APP )的相关文档、工具的**。对于移动 APP 开发者来说,为了提高开发效率,或者引用其他三方功能如支付、扫码、注册等,往往会集成不同的第三方 SDK 工具包。现如今,APP 开发者使用第三方 SDK 已经成为普遍现象,实际上,SDK 作为服务提供商提供的手段,也已经成为目前主流的集成方式。例如百度地图 SDK、微博登录 SDK、个推 SDK、腾讯 Bugly、友盟 SDK 等,均为市面上广泛使用的 SDK。

移动 SDK 现状:

曾有相关专业 IT 人员对 15 个类别、1000 多款主流 App 使用第三方 SDK 的统计分析结果显示,App 使用最为广泛的第三方 SDK 类型为第三方登录分享类、推送类、数据统计类 SDK,以及一些基础库(例如:GSON、OkHttp、EventBus 等),且所有 APP 均使用过第三方服务提供的 SDK。

图源自: https://www.luoxudong.com/225.html

移动 SDK 安全现状

尽管第三方 SDK 被广泛使用,可对于 SDK 使用者即 APP 开发者来说,第三方 SDK 是为黑盒存在,APP 开发者是无法得知其中的详细代码流程及开发流程。这导致,在 APP 开发完毕之后,SDK 成为 APP 开发者遗忘以及忽略的环节。

例如,今年上半年,中国某科技企业被曝光利用 SDK 隐瞒收集用户联系人信息、QQ 登录信息、位置信息,该 SDK 存在于第三方商店提供的多达 12 个 Android 应用程序中,受感染的应用程序已下载至少 1.11 亿次

通过分析,不难查看出该 SDK 的部分内容:

1.不必要的权限

2 . 隐私信息获取(图为收集 QQ 登录信息)

3.隐藏后台发送

以上图片资料均源自: https://research.checkpoint.com/2019/operation-sheep-pilfer-analytics-sdk-in-action/

不难看出,由于第三方的 SDK 侧重于功能性,导致 App 开发者在使用第三方 SDK 时,完全忽略其安全性,使其可以搜集隐私信息,或借助合法 App 执行恶意操作!如果存在工具能够在集成之前进行安全审计,便可以避免使用第三方危险的 SDK,保证自身 SDK 安全。

Coeus 安全审计工具

0x01 项目地址

github 项目地址: https://github.com/wulio/Coeus

0x02 依赖环境

python 3.x / java

0x03 安装使用教程

安装 :git clone https://github.com/wulio/Coeus.git

一键扫描:python coeus.py xxx.aar

0x04 相关说明

相关政策代码及隐私代码检测策略,均在 scrpit 文件夹中,json 格式便于添加与修改

相应的工具也存储在 tool 文件夹下

具体代码逻辑均可在项目组查看。

生成的扫描文件,输出在 result 文件夹下,分别有对应的 log 文件和输出的 report.xml 文件。

0x05 使用示例

一键运行 python getui_2.13.3.0-gisdk_3.1.9.1-gssdk_2.3.0.0.aar

getui_2.13.3.0-gisdk_3.1.9.1-gssdk_2.3.0.0.aar 为个推官网最新 SDK,可于个推官网下载。http://docs.getui.com/download.html

打开对应的 result.xml 文件:

部分截图如下:

可以看到文件将 sdk 违反政策相关以及部分安全问题代码均有展示,更多详细信息可以于项目 project,result/xxx/report.xml 中查看。

总结

作为 Coeus 的开发者,后续将会持续更进该项目的开发与更新,欢迎使用及 star~

2975 次点击
所在节点    分享创造
0 条回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/633619

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX