SDK安全系列 | 消息推送类SDK——安全热点及实践浅析

消息推送类SDK支持开发者跳出传统的系统通知栏消息限制，实现富媒体消息、横幅通知消息、弹框消息等推送模式，但正因不受限于通知栏样式模板，消息推送类SDK可展示的内容以及交互方式难以控制，可能被用于欺骗误导用户、恶意营销等违规行为。例如，某些开发者为提高广告点击量或App下载量，利用消息推送SDK伪造常见热门App通知，用户点击后却跳转至其他App下载界面或广告页面，不仅诱导用户、破坏用户使用体验，也对被“冒名顶替”的App造成名誉损害。此外，还有利用消息推送类SDK定制化功能的情形，如在弹窗中设置多个外观相近的按钮使得用户误点击，触发交互行为或打开广告页面，为用户正常使用带来不便。

2.版本迭代更新问题

App一般通过在线更新实现软件的功能优化或漏洞修复，如果发现严重安全风险，开发者可通过终止旧版本服务等手段强制客户端升级。与App不同，SDK产品的升级迭代则较为复杂，受到产品分发、部署机制限制，SDK升级多依赖于App开发者主动替换，进而在用户更新App时完成内嵌SDK的迭代。但由于SDK新旧版本在功能实现上通常没有太大差异，使得App开发者易忽视SDK版本的升级，长期使用部分存在安全风险的陈旧SDK，安全隐患难以根除。例如，某些早年发布的SDK产品未对HTTPS协议传输数据进行加密，存在中间人攻击风险，虽然开发者在后续迭代中增加了二次加密等安全机制，但集成旧版本SDK的App数量众多，难以全面替换，导致安全风险长期存在。SDK复杂、滞后的更新机制已逐渐成为行业数据安全一大痛点。

目前，为了应对业务功能滥用问题，SDK服务提供者一般不会将消息样式完全开放给App开发者进行自定义，而是提供固定的样式模板，App开发者仅能在有限的模板中进行选择，且只能自定义消息的标题和内容。部分消息推送类SDK在向App提供服务时，消息内展示的App图标、名称等关键信息不允许私自改动，有效避免了通过“仿造、冒充”其他App消息，欺骗诱导用户的行为。此外，部分消息推送类SDK会对开发者利用其业务功能发送的内容进行审查，通过部署敏感词过滤等技术措施，对消息推送功能的滥用问题进行严格控制。

2.版本更新安全实践

针对当前SDK安全迭代更新困难、产品新旧版本繁杂、安全防护水平不一等痛点问题，部分SDK厂商尝试与App开发者建立有效的沟通渠道，一旦SDK推出优化更新，则可通过短信、邮件、电话等多种方式进行通知，要求App开发者自主集成新版本SDK，或开放热更新功能下载补丁，从而实现SDK的迭代、升级。对于业务功能可能涉及用户敏感个人信息、重要数据的消息推送类SDK产品，部分厂商进一步建立合作方管理机制，通过合作协议、商业合同等形式明确双方责任、义务，如果开发者拒不对可能导致用户数据泄露的严重安全风险进行修复、升级，SDK开发者可在充分告知其影响的前提下，限时对其终止服务。

｜作者：史坤坤  深圳市和讯华谷信息技术有限公司