移动广告库为企业数据带来重大风险

每天在 Mojave Threat Labs，我们的研究团队都会使用超过 200 个个人风险因素来分析数以千计的移动应用程序。我们跟踪的关键风险因素之一是收集并发送到远程 Web API 的私人数据或个人身份信息（personally identifiable information，PII）。这可能包括用户姓名、电话号码、电子邮件地址、位置、已安装的应用程序、通话记录、联系人列表等。平均而言，企业员工和移动用户在其移动设备上拥有大约200个应用程序，包括所有预装的应用程序，如地址簿和相机。每个应用程序平均有 9 个在用户使用前就同意授予的权限 -- 例如访问你的地址簿，或者获取你的位置权限以便告诉你附近的内容。有这么多应用程序请求访问私人或敏感信息，用户甚至是 IT 管理者通常都很难去完全了解谁获取了数据、数据将被发往何方、数据将如何使用。

为什么你不该盲目信任移动广告库

影响公司员工和个人移动用户的一些最重要的风险因素，例如数据丢失和个人身份信息（PII）收集，不是由应用程序本身发生的，而是在移动广告库和其他库组件（如社交媒体或分析工具）中发生的。这些库是由第三方编写的大型代码包，开发者将这些代码包包含在他们的移动应用中以帮助他们添加标准功能。在这种情况下，开发人员可以使用这些库来收集广告收入、跟踪用户统计信息或与社交媒体 API 集成。移动应用程序开发者有上千个这样的库可供使用，每个库都有不同的声誉，开发人员通常在很少或没有审核的情况下包含他们的代码。虽然这些库中有许多都没有收集个人身份信息并且有合理的隐私政策，但并非所有库都如此有信誉，且对于大多数用户来说，无法知道特定应用中包含哪个广告库。遗憾的是，当你授权应用访问你的私人或敏感数据时，你同时也授予了每个包含的库及其作者相应的访问权限，无论你是否知道。

这就像把你的房门钥匙托付给你的少年们过周末一样，这只是让他们立即为朋友配几把备用钥匙，而这是你不知道的。这种间接性和缺乏透明性导致应用程序包含的子组件缺乏问责制，并使 IT 管理员无法做出充分明智的风险决策。

为了展示此类第三方库的流行程度，Mojave Threat Labs 分析了客户安装的应用程序连接的超过 1100 万个网址。然后，我们根据网址是否与广告网络、社交媒体和分析 API 相连接来进一步将网址分类。当我们分析了客户下载的所有应用时，我们发现：

• 企业用户至少连接到与消费者用户一样多的数据收集库，在某些情况下更多，这使企业面临敏感数据丢失的风险;
• 一些顶级广告库（如 AdMob，AirPush 和 Flurry）会泄露私人信息，例如你下载到手机上的移动应用，精确的地理位置数据（包括你的邮政编码），设备ID号，网页浏览历史记录等等。
• 企业用户下载的应用程序中有65％连接到广告网络;
• 企业用户下载的应用程序中有40％连接到社交网络 API;
• 企业用户下载的所有应用程序中至少有78％连接到广告网络、社交媒体 API 或分析 API 中的一个。

毫不奇怪，两个类别中的顶级域名都属于顶级广告库（AdMob，Airpush，Flurry，MillenialMedia）以及社交媒体（Facebook，Twitter，LinkedIn，Google +）。排在前50位的是 DropBox 等数据共享API。

举个例子，这些库收集的数据类型，我们检查了数据库中的一个顶级网址 Airpush。暴露的数据类型包括：

• Android ID
• 广告商 ID
• 设备品牌和型号
• 移动网络浏览器类型和版本
• IP 地址
• Airpush 生成的ID
• 应用程序名称
• 设备上安装的移动应用程序列表（可选退出选项）
• “其他技术数据你的设备“
• 根据你的许可，Airpush可能会收集： 精确的地理位置浏览器历史记录（可选退出选项） 国家 / 地区 邮政编码 设备ID（包括 IMEI，设备序列号和 MAC 地址） 经过加密的电子邮件地址（可选退出选项）

最重要的是，你可能信任特定应用程序的作者，但你可能甚至不知道收集有关你最多信息的组件（库）的作者。几乎所有情况下，用户只需下载并安装包含该库的应用程序就受到了该库的数据策略所约束，连查看策略的详细信息都不用。

企业风险与消费者风险：企业谨防

虽然大多数应用程序连接到广告网络并不奇怪，但值得注意的是，企业用户安装的应用程序与个人（消费者）用户安装的应用程序之间的细分几乎相同。其他一些有趣的发现包括：

• 企业用户安装的应用程序连接到社交媒体 API 的可能性至少高出 10％。
• 企业用户（对比消费者）安装的应用程序可能包含将其暴露在个人身份信息、个人或公司数据丢失风险的库。

下表比较了业务用户设备（右）和消费者设备（左）上的应用程序的顶级网址。该表显示，当涉及到顶级广告库、社交媒体库或其他影响数据隐私的库时，企业用户和个人用户之间并没有巨大差别 -- 企业并不像他们想象的那么安全。

用户和 IT 管理员必须了解从他们的设备收集哪些数据、数据发往何处以及如何使用这些数据，这一点至关重要。鉴于所收集的大多数敏感数据都发生在这些第三方库（如广告网络，社交媒体 API 和分析工具）中，因此充分了解移动应用程序中包含的每个库非常重要。

由 Mojava Networks 的 Lead Threat 工程师 Ryan W Smith 撰写