谷歌AdMob过滤器漏洞，恶意广告偷偷潜入应用

浮尘

有安卓应用开发人员抱怨道，因为官方广告网络监管不力，导致本应无公害的安卓应用染上了恶意广告。

安卓应用莫名被植入第三方广告

来自悉尼的两款公交安卓应用（Arrivo和TripView公交时间表）的开发人员告诉我们，谷歌应用收费服务AdMob的过滤器，并没有能抓到偷偷潜进他们应用的恶意广告。

恶意广告是一种新兴的问题，大多数用户信任广告拦截的安全预防措施，觉得它们能保护自己不受恶意软件和垃圾广告侵害。然而，像上面所提到的Arrivo和TripView公交时间表应用，都遭受了垃圾广告的入侵。

表面上看是一个正常跳转，没有啥恶意内容。


广告细节

上面的URL指向了Gradiant.com，这是一个自称“水利技术服务”的公司，这里链接到了一个NSFW生态广告。

有趣的是，这个广告能偷偷绕过广告过滤器，事见澳大利亚新闻商Fairfax的推文：

pic.twitter.com/0yQ1yaRhsN
— Jono (@skitterrusty) October 12, 2015
里面给的网址，并非应用自己的广告，而是呼吁人们保护南非秃鹫。由于我们的安卓安全研究技能是有限的，我们不知道跟踪链接会给我们带来什么风险，所以也就没有深究下去。

相关人士的反应

但是我们询问了有关安全公司，了解是否会给用户带来什么恶果。同时我们也通知了TripView和Arrivo的开发者，询问有哪些广告是被允许插入他们的应用。Arrivo率先做出回应，试图找出原因然后屏蔽广告。他们表示，这些广告本不应该绕过谷歌AdMob的过滤器配置。Tripview的作者也指责AdMob，在本文写作期间他们正在追溯广告源。

我们曾询问谷歌官方，这些广告是怎么绕过AdMob过滤器的。但是谷歌告诉我们，他们正在努力排除广告，而且他们很关注这件事，但是细节恕不奉告。PS：作者猜测该广告可能采用填充过空间的图片代替文本，对抗谷歌的字符识别过滤，谷歌也许应该逐字进行过滤。

Lucifer

感谢楼主的分享~

ruguoruo

支持，看起来不错呢！

Sty，涛

支持中国红客联盟(ihonker.org)

r00tc4

支持中国红客联盟(ihonker.org)

wtsqq123

感谢楼主的分享~

yusiii

小路

wanmznh

若冰

感谢楼主的分享~