本文深入探讨了广告SDK的工作原理、安全问题及其潜在风险,特别是恶意广告SDK如何窃取用户信息。文章提出了事前、事中和事后三个阶段的防范措施,包括SDK文档审核、实时监控和数据销毁策略,以确保用户数据安全和透明度。倍业科技以其开源SDK代码和严格的数据处理原则,为APP开发者提供了对抗恶意广告SDK的解决方案。
倍业科技:浅析广告SDK,一招破解“黑箱”
作者:卢恒
一、广告SDK介绍
1、SDK是什么?
SDK( Software Development Kit,又称软件开发工具包)本质上是包含一系列逻辑、方法的开发工具集合,通过对API和动态链接库、导入库等资源封装后的产物。常见的是jar包、so库、aar包,从大到小依次为JDK>AAR>SO>JAR。(由于Android开源,所有系统接口基本上都保持开放,开发者对信息的获取相比与封闭的IOS更加容易,因此下文以Android为主。)
2、广告SDK分类
广告SDK一般分为聚合广告SDK和单一广告SDK两大类,聚合广告SDK普遍是指第三方(通常是SSP)将市面上多个渠道SDK/API(通常是指多家网盟、DSP的SDK/API)封装成一个SDK,单一广告SDK普遍是指特定渠道(通常是网盟 、DSP)单独开发自己的广告SDK。此外,还有按照SDK内除了帮助开发者接入广告投放以外,是否具备广告程序化创意、验证、监测等功能来区分聚合SDK和单一SDK。
图1 以Android系统为例
按照媒体类型分类
图2 SDK编程语言分类
二、广告SDK的安全问题
1、恶意广告SDK如何窃取信息?
用户进入内嵌恶意广告SDK的APP,恶意广告SDK提供方在APP传递广告位ID等上下文数据时违规采集。比如通过暗藏的后门(如下图3流程1),开启后台进程或线程去窃取用户个人数据,并将收集的用户个人数据上传至自己的服务器。
图3 广告SDK正常运作流程参考(非经过APP后台)
2、广告SDK主要风险因素及分析
图4 广告SDK安全问题
三、如何破解恶意广告SDK“黑箱”?
事前检测:
APP开发者在正式开展合作前一般需要对广告SDK提供方进行SDK文档审核、自测或者工具审核SDK Demo、第三方机构审核、合作协议审核(如下图5)。倍业iOS开发工程师程立卿说:相比较常规的识别方法而言,倍业广告SDK遵循最小可用性原则(即用最少的代码),并且开源SDK代码,为APP开发者提供最大的文本检测与技术检测透明度,从源头避免广告SDK的黑箱,让APP开发者安心使用。
图5 恶意广告SDK常规识别方法
事中监督:
APP在使用倍业广告SDK中,倍业仅会在征得同意的情形下,获取设备信息和网络相关信息,与APP同步用户数据采集行为,并保存行为日志和数据日志,为APP开发者提供第一视角的数据采集、传输等环节操作情况,方便APP开发者监督倍业处理用户数据过程。
图6 监督广告SDK提供方数据处理
事后保障:
在合作终止和一定周期,督促广告SDK提供方及时响应对存储的用户个人数据和系统中相关副本进行销毁。倍业广告SDK在事后保障上远低于行业普遍6个月删除的默认规则,遵循本地设备信息、网络相关信息、原始业务日志每日删除,云端存储数据和相关副本3个月自动归档销毁的高标准自我约束原则。
扫一扫
8114
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
