伴随着移动终端用户规模快速扩张,互联网广告业务逐渐从互联网迁徙到移动智能终端及APP应用场景,成为当前移动互联网最主要的商业变现模式之一。
与此同时,广告业态经过多年的野蛮发展,滋生了大量依附于移动风险应用和移动恶意代码的黑灰产广告及流量变现的产业链,引发一系列的安全问题,不仅侵害了个人用户的权益,也直接侵蚀、破坏了整个良性的开发者生态。
从2015年开始,安天移动安全就持续关注风险应用中的恶意广告行为,历史也发布过多篇恶意代码家族及其广告推送行为的技术分析报告。作为网络健康生态助推者,安天移动安全将持续关注和披露当前移动应用中涉及的恶意广告行为,及其相关典型问题和现状,以期望引起业界的关注和讨论。
本期分享的恶意广告行为:开发者利用Deeplink技术恶意推送广告,主要问题如下:
1、在未告知用户、未经用户同意,且无合理的使用场景的情况下,应用通过监听手机锁屏的系统消息,以触发Deeplink的方式进行广告推送;
Deelink又名“深度链接”,这是对于已经安装了APP,并把需要的参数通过URL的形式传递给App,指向特定的页面,主要帮助开发者实现从外部链接到App内部页面的直接跳转。部分开发者利用此项技术进行恶意广告推送,严重影响了用户的正常使用体验。
2、开发者会根据不同手机品牌的系统管控严格与否,做猫鼠游戏,保证在较低风险的情况下实现利益最大化;
3、虽然目前法规不断完善、监管不断加强,但部分开发者仍然想方设法越过监管要求,通过打擦边球的方式不当获利;
4、开发者利用Deeplink恶意推送广告的行为,导致用户在手机解锁后跳转至其他应用并违背其主观意愿接收广告,严重影响了用户正常使用其他应用服务,对用户形成了骚扰。
【相关分析】
首先,注册广播接收器,用来监听锁屏消息和网络状态变化。由于某品牌手机系统管控严格,所以会放弃在该品牌手机中进行 deeplink 广告推送
应用在接收到息屏系统消息广播后,会触发 deeplink 本地配置信息的读取,其存储在相关配置文件中。
技术上设定了早上和晚上触发的时间段,然后通过a函数的第一个参数来进行条件触发。0:不触发 1:早上触发 2:晚上触发 3:超过触发次数
这里会判断是否为某品牌手机,该品牌手机不限定弹出次数。
延时启动 deeplink 。
云端请求,云端请求会更新 deeplink 配置。
当用户解锁屏幕后自动跳转至某浏览器小说、某支付平台红包、某电商平台等页面。
此外,以上问题在各品牌手机中情况有所区别,在实际操作中,风险应用甚至会根据不同机型的特点进行定制,以达到其违规推送广告的目的。
2017年以来,随着国产智能终端系统安全和身份安全机制的不断完善,移动恶意行为和广告业态的结合已经成为恶意和风险应用在移动互联网上持续获益的主要动机,并逐步成为黑灰交叉的治理难题,用户权益和开发者变现之间的共生关系也在广告利益的引诱下开始出现新的风险和局面。
移动纯净生态建设不但需要专业的技术支撑,更加离不开开发者、终端厂商等各方的共同努力,作为网络健康生态助推者,安天移动安全愿和各方一道共同促进移动互联网环境持续向好,为开发者提供更加专业的产品安全辅导和配套服务,不断提升开发者安全运营水平,联合建立行业规范,助力网络安全新格局建设。