行動程式開發人員要嵌入廣告SDK時可能要更加小心了,行動資安業者Lookout在本周指出,中國製的Igexin行動廣告SDK的某些版本含有惡意外掛程式下載功能,可能危及行動用戶的隱私,且Google Play上就有超過500款行動程式採用了Igexin。

迄今Lookout發現有超過500款程式採用了Igexin廣告SDK,程式種類包羅萬象,涵蓋針對青少年的遊戲程式、天氣程式、網路廣播程式、照片編輯程式、教育程式、旅遊程式及錄影程式等,這些程式的下載次數超過1億次。

不過,並非所有的Igexin廣告SDK都含有惡意功能,那些惡意版本都含有一個外掛框架,允許客戶端載入任何程式,因受到Android權限系統的限制,目前Lookout所觀察到的惡意外掛最嚴重的就是竊取裝置的通話紀錄,包括通話時間、對方的電話號碼,以及通話狀態。

Lookout指出,有愈來愈多的惡意程式作者先以無害程式上架,再自遠端伺服器下載惡意程式,然而,Igexin的例子有些獨特,因為這些程式開發人員並沒有打造惡意功能,也無從控制這些惡意功能,甚至不知惡意功能的存在,他們只是採用了含有惡意功能的SDK,所有的侵入性活動都是由Igexin所掌控的伺服器負責操控。

也因此,Lookout並沒有列出被感染的程式名單,而Google則是在接到Lookout的通知後移除了遭到惡意SDK波及的程式。

至於Igexin中文名稱為「個信」,為中國每日互動網路旗下的產品之一,主要提供行動網路的目標式廣告服務,迄今尚未回應Lookout的研究。


Advertisement

更多 iThome相關內容