10月24日消息，360互联网安全中心发布《2014年APP广告插件安全研究报告》(以下简称报告)。报告中指出，在测试的10款广告插件中，有3款存在安全 洞，占比达到30%。360手机安全专家表示，所谓的安全 洞本身可能是插件厂商预留，目的是可以远程控制插件，但由于缺乏有效的验证机制，这些后门很可能被攻击者利用。

有数据显示，截止2014年6月，手机网民规模达5.27亿，移动终端已经成为一种重要的媒介，它渗透进人们的生活中并影响越来越深。这一点从移动广告的增长趋势就可见一斑：根据艾媒咨询数据显示，2013年中国移动广告平台市场整体规模为25.9亿元，同比增长144.3%，2014年将达到50.1亿元。到2018年的市场规模有望达到227.1亿元。

移动广告规模的快速增长也让上百家移动广告平台涌现出来，依靠在应用中植入广告插件，收取广告费用来盈利。但由于移动互联网增长速度太快，这些平台的规模大小不一，提供的插件质量也良莠不齐。而且缺乏统一的监管办法，这也让广告插件成为手机中的“定时炸弹”，随时有威胁手机安全的可能。

《报告》指出，在此次测试的10款广告插件中，有3款被检测出存在动态加载校验 洞，这3款存在 洞的插件中，还有一款存在Javascript代码任意执行 洞。此外，米迪，D.push，appquanta.com这三个广告插件虽然未在TOP10的广告插件中，但也具有很大的影响力，也存在上述安全 洞。

360手机安全专家在接受记者采访时表示，动态加载校验 洞不会对下载应用的数字签名进行校验，因此很可能在更新时下载并安装被篡改过的更新包或恶意更新包，进而使用户手机感染木马病毒并面临安全威胁。

而Javascript是一种脚本语言，不少广告插件就是使用这种语言编写而成。但是，由于Javascript代码具有一定的本地执行能力，如果不对Javascript代码的安全性进行任何校验就直接运行，则可能导致恶意编写的Javascript代码被执行，进而使手机遭到攻击甚至感染木马病毒。

这两类安全 洞都会对手机造成严重的安全隐患，而且手机木马的作案目标往往是支付应用、网银这种直接与金钱挂钩的软件。这些软件一旦被木马攻破，就很有可能造成经济损失。对此360手机安全专家表示，360手机卫士可以对当前最新的木马病毒进行查杀拦截，此外还可以对广告插件进行管理，以免出现不必要的安全隐患。

《2014年APP广告插件安全研究报告》报告全文：

http://yunpan.cn/csHPc3qf8jrDU