View
591
Download
5
Category
Preview:
Citation preview
Android解析勉強会 #2 広告モジュール班
2013/04/20
解析対象
Androidアプリに組み込まれている広告モジュールを調査
● mobclix● GMO SmaAd● Airpush SDK
mobclix
● 利用規約等はない● 静的解析をすると電話番号とIMEIを送信してい
る● su コマンドを動かそうとしている● 通信は確認でていない(発信元が日本と判断さ
れてるから?
GMO SmaAd
● 日本のアプリによく使用されている● アプリの初回起動の際に Random UUID が発
行されて、個人を識別している● 電話番号等は取得していない
華の大奥 ~禁断の恋~ 【無料ゲーム】ビンタ恋
愛
http://secroid.jp/d/e/8/1/jp.entag.android.ninki_osusume_renai_6.html
Airpush SDK
● 起動時に利用規約が表示される● 日本からのアクセスは制限されている?
白い指紋セキュリティhttp://secroid.jp/d/b/a/5/com.mobiapps.white.fingerprint.html
追加検証
Airpush SDK を実証
既存のアプリに勝手に Airpush SDK を組み込んでみる
● Google アカウントを使って Airpush にログイン● アプリを登録してキーと SKD を取得● サンプルコードを実装
追加検証
対象アプリ
WebView + jQuery Mobile で実装されており、サイトに接続するだけの単純な仕組み
-> そっくりアプリをつくって広告をいれる
まとめ
広告モジュールによっては root を取得したり個人情報を取得する危険なものもある
実装が簡単なので広告モジュールは今後も広まりそう
Recommended