摘要:目前，许多Android系统开发人员为了缩短开发时间，选择在其应用程序中内置第三方SDK的方式.第三方SDK是一种由广告平台、数据提供商、社交网络和地图服务提供商等第三方服务公司开发的工具包，它已经成为Android生态系统的重要组成部分.但是，一个SDK有安全漏洞，会导致所有包含该SDK的应用程序易受攻击，这严重影响了Android生态系统的安全性.因此，在市场上选取了129个流行的第三方SDK，并对其安全性进行了全面分析.为了提高分析的准确性，将第三方SDK的demo应用作为分析对象，并使用了在分析Android应用中有效的分析方法（例如静态污点追踪、动态污点追踪、动态二进制插桩等）和分析工具（例如flowdroid、droidbox等）.结果显示：在选取的这些SDK中，超过60%含有各种漏洞（例如HTTP的误用、SSL/TLS的不正确配置、敏感权限滥用、身份识别、本地服务、通过日志造成信息泄露、开发人员的失误），这对相关应用程序的使用者构成了威胁.