Android上的交互式广告会带来安全风险吗？

Question

最近，我开始在我在Android上使用的免费应用程序中看到交互式广告。我已经习惯了以图片、赠品或视频的形式出现的广告。现在，一个轻量级的，看似HTML5 5兼容版本的游戏广告是自动加载，准备播放。唯一提到与这些互动广告相关的安全问题的是本文概述。

恶意互动广告的安全风险是什么？是否有降低风险的用户实践(不是单击、关闭、配置任何设置)？

Answer 1

可能会，也可能不会。这主要取决于应用程序使用的广告包装器。大多数应用程序不编写自己的库来显示广告，而是使用由广告供应商提供的库。这个库将调用WebView来显示广告。

如果WebView或包装器库中存在漏洞，那么恶意广告可能会侵入系统。

WebView和浏览器一样，都是为了处理运行不受信任的JavaScript代码而设计的。但是，WebView由于其嵌入到另一个应用程序中的特性，在沙箱中也有漏洞，因此它可以与主机应用程序通信。如果主机应用程序是不小心编写的，那么这些通信就有可能暴露一个引入漏洞的功能，该漏洞可用于突破沙箱。

Answer 2

正如那句名言所说：“如果某物是免费的，你就是产品”。因此，大多数免费应用程序为了获得收入，都使用广告作为一种手段。然而，广告周围的生态系统并不是真正安全的，而这正是恶意行为者滥用潜在漏洞的地方。换句话说，这可以被称为恶意眩晕。

很好地阅读了如何在https://www.zdnet.com/article/malicious-code-hidden-in-advert-images-cost-ad-networks-1-13bn-last-year/上利用隐写技术

此外，HTML5在最近几天似乎被威胁行为者严重滥用，在https://mediatrust.com/blog/html5-safe-haven-malware上也有更多。

希望这能有所帮助！