长寿信息港

当前位置:

360报告30广告插件暗藏安全漏洞

2020/02/15 来源:长寿信息港

导读

360报告:30%广告插件暗藏安全漏洞10月24日消息,360互联安全中心发布《2014年APP广告插件安全研究报告》(以下简称报告)。

360报告:30%广告插件暗藏安全漏洞

10月24日消息,360互联安全中心发布《2014年APP广告插件安全研究报告》(以下简称报告)。报告中指出,在测试的10款广告插件中,有3款存在安全漏洞,占比达到30%。360安全专家表示,所谓的安全漏洞本身可能是插件厂商预留,目的是可以远程控制插件,但由于缺乏有效的验证机制,这些后门很可能被攻击者利用。

有数据显示,截止2014年6月,民规模达5.27亿,移动终端已经成为一种重要的媒介,它渗透进人们的生活中并影响越来越深。这一点从移动广告的增长趋势就可见一斑:根据艾媒咨询数据显示,2013年中国移动广告平台市场整体规模为25.9亿元,同比增长144.3%,2014年将达到50.1亿元。到2018年的市场规模有望达到227.1亿元。

移动广告规模的快速增长也让上百家移动广告平台涌现出来,依靠在应用中植入广告插件,收取广告费用来盈利。但由于移动互联增长速度太快,这些平台的规模大小不一,提供的插件质量也良莠不齐。而且缺乏统一的监管办法,这也让广告插件成为中的定时炸弹,随时有威胁安全的可能。

《报告》指出,在此次测试的10款广告插件中,有3款被检测出存在动态加载校验漏洞,这3款存在漏洞的插件中,还有一款存在Javascript代码任意执行漏洞。此外,米迪,sh,这三个广告插件虽然未在TOP10的广告插件中,但也具有很大的影响力,也存在上述安全漏洞。

360安全专家在接受采访时表示,动态加载校验漏洞不会对下载应用的数字签名进行校验

,因此很可能在更新时下载并安装被篡改过的更新包或恶意更新包,进而使用户感染木马病毒并面临安全威胁。

而Javascript是一种脚本语言,不少广告插件就是使用这种语言编写而成。但是,由于Javascript代码具有一定的本地执行能力,如果不对Javascript代码的安全性进行任何校验就直接运行,则可能导致恶意编写的Javascript代码被执行,进而使遭到攻击甚至感染木马病毒。

这两类安全漏洞都会对造成严重的安全隐患,而且木马的作案目标往往是支付应用、银这种直接与金钱挂钩的软件。这些软件一旦被木马攻破,就很有可能造成经济损失。对此360安全专家表示,360卫士可以对当前最新的木马病毒进行查杀拦截,此外还可以对广告插件进行管理,以免出现不必要的安全隐患。

《2014年APP广告插件安全研究报告》报告全文:

寿县县医院怎么样
邢台市中医院预约挂号
宁夏治疗癫痫病最好的医院
运城牛皮癣十佳医院
天津能治男科的医院
标签

友情链接