SDK安全系列 | 消息推送类SDK——安全热点及实践浅析

admin 2023年3月10日10:25:29评论2 views字数 2053阅读6分50秒阅读模式

点击蓝字关注我们

申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接

在消息推送类SDK蓬勃发展、技术创新升级的同时,其安全合规问题也日益凸显,我们聚焦法律法规要求与行业痛点、热点问题,结合SDK产品开发运维过程中常见的防护技术及管控措施,本期选取消息推送类SDK面临的两类典型问题,简要分析安全风险与应对实践。

消息推送类SDK安全热点
1.业务功能滥用问题

消息推送类SDK支持开发者跳出传统的系统通知栏消息限制,实现富媒体消息、横幅通知消息、弹框消息等推送模式,但正因不受限于通知栏样式模板,消息推送类SDK可展示的内容以及交互方式难以控制,可能被用于欺骗误导用户、恶意营销等违规行为。例如,某些开发者为提高广告点击量或App下载量,利用消息推送SDK伪造常见热门App通知,用户点击后却跳转至其他App下载界面或广告页面,不仅诱导用户、破坏用户使用体验,也对被“冒名顶替”的App造成名誉损害。此外,还有利用消息推送类SDK定制化功能的情形,如在弹窗中设置多个外观相近的按钮使得用户误点击,触发交互行为或打开广告页面,为用户正常使用带来不便。

2.版本迭代更新问题

App一般通过在线更新实现软件的功能优化或漏洞修复,如果发现严重安全风险,开发者可通过终止旧版本服务等手段强制客户端升级。与App不同,SDK产品的升级迭代则较为复杂,受到产品分发、部署机制限制,SDK升级多依赖于App开发者主动替换,进而在用户更新App时完成内嵌SDK的迭代。但由于SDK新旧版本在功能实现上通常没有太大差异,使得App开发者易忽视SDK版本的升级,长期使用部分存在安全风险的陈旧SDK,安全隐患难以根除。例如,某些早年发布的SDK产品未对HTTPS协议传输数据进行加密,存在中间人攻击风险,虽然开发者在后续迭代中增加了二次加密等安全机制,但集成旧版本SDK的App数量众多,难以全面替换,导致安全风险长期存在。SDK复杂、滞后的更新机制已逐渐成为行业数据安全一大痛点。

消息推送类SDK安全实践
1.业务功能安全实践

目前,为了应对业务功能滥用问题,SDK服务提供者一般不会将消息样式完全开放给App开发者进行自定义,而是提供固定的样式模板,App开发者仅能在有限的模板中进行选择,且只能自定义消息的标题和内容。部分消息推送类SDK在向App提供服务时,消息内展示的App图标、名称等关键信息不允许私自改动,有效避免了通过“仿造、冒充”其他App消息,欺骗诱导用户的行为。此外,部分消息推送类SDK会对开发者利用其业务功能发送的内容进行审查,通过部署敏感词过滤等技术措施,对消息推送功能的滥用问题进行严格控制。

2.版本更新安全实践

针对当前SDK安全迭代更新困难、产品新旧版本繁杂、安全防护水平不一等痛点问题,部分SDK厂商尝试与App开发者建立有效的沟通渠道,一旦SDK推出优化更新,则可通过短信、邮件、电话等多种方式进行通知,要求App开发者自主集成新版本SDK,或开放热更新功能下载补丁,从而实现SDK的迭代、升级。对于业务功能可能涉及用户敏感个人信息、重要数据的消息推送类SDK产品,部分厂商进一步建立合作方管理机制,通过合作协议、商业合同等形式明确双方责任、义务,如果开发者拒不对可能导致用户数据泄露的严重安全风险进行修复、升级,SDK开发者可在充分告知其影响的前提下,限时对其终止服务。

结语
随着业务功能与应用场景的拓展,SDK在数据处理活动中面临着多重安全挑战,本文仅挑选了消息推送类SDK中两类较具代表性的问题。值得注意的是,在移动互联网应用的开发、运维中,SDK与App已形成高度绑定、高度集成的行业生态,App需遵循的安全合规原则,往往同样适用于大多SDK产品,SDK面临的安全风险,也影响着众多App以及背后千千万万用户。App开发者应通过SDK官方渠道获取最新版本产品,并与SDK厂商建立畅通、有效的合作机制,及时更新。SDK厂商应时刻关注数据安全问题,对于已经一些长期存在、难以解决的的难点、痛点,应积极探索各种新方案、新技术,积极参与行业交流,致力于促成“安全高效开发、规范透明集成、合理充分利用”的产业格局,助力移动互联网健康有序发展。

上期回顾:SDK安全系列 | 消息推送类SDK——业务功能及技术特点简析


|作者:史坤坤  深圳市和讯华谷信息技术有限公司

SDK安全系列 | 消息推送类SDK——安全热点及实践浅析

数据安全共同体计划

(data security community)


“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。


咨询电话:

      曹京 15810981762

      解伯延 18631643906

联系人邮箱:[email protected]

SDK安全系列 | 消息推送类SDK——安全热点及实践浅析

SDK安全系列 | 消息推送类SDK——安全热点及实践浅析

原文始发于微信公众号(数据安全共同体计划):SDK安全系列 | 消息推送类SDK——安全热点及实践浅析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月10日10:25:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  SDK安全系列 | 消息推送类SDK——安全热点及实践浅析 http://cn-sec.com/archives/1593544.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: