有害SDK

いろいろなOSがあります。
Windows、iOS、Android、Linux、こういったOSは非常に多く利用されています。
しかしこれらは基本的にこれらそのものでは役に立ちません。
OSは基盤となるものであり、なにかのアプリケーションを動作させる環境です。
そのOSが便利なのかそうでないのかは、そこで利用したい便利なアプリがそのOSにあるかどうかということになります。

いろいろなアプリがあります。
目を見張るような斬新なアイデアが盛り込まれたものも少なくなく、よく考えられています。
しかも、そういったアプリが無償で利用できたりします。

基本的にはアプリは営利活動を伴って提供されます。
アプリを提供する動機としては利便性などのなんらかのメリットを利用者に届けたい、というような純粋なものであったとしても、その思いだけでは経費を賄うことは容易ではありません。
開発環境だけでなく、配布環境、アプリに連動するサーバ環境など、多くのシステムが必要となることも少なくなく、こういったシステム全体を維持するにはコストがかかります。

では必要な経費はどのように回収しましょう。
直接利用者にアプリ購入費用として負担してもらう、利用者に継続的に利用料として負担してもらう、などさまざまな手法が考えられます。
そのなかで直接的な利用者の金額負担の無い方法があります。
そのひとつが広告収入を前提として利用者には費用を負担してもらわない仕組みです。

この仕組みが利用されているアプリは非常に多くあります。
アプリの入手は無償で可能です。
そのアプリは無償で利用することができます。
利用中に広告が表示されますが、その広告が表示されることに我慢さえできれば、利用者による費用の負担はありません。
こういった利用者にとっての手軽さからこの方式の選択されているアプリは多く存在します。

そんななか、嫌なものが出てきました。
有害SDKです。
こんなかんじです。

• 広告機能を簡単に実装できる機能を搭載したSDK（開発用キット）を公開する
• アプリ開発者がそのSDKを入手し、自身のアプリに組み込み公開する
• 利用者がアプリを入手し利用する
• アプリの利用の際に、アプリとともに広告が表示され、その広告収入が仕組みを支える

ここまでは通常の想定範囲です。
さらに続きます。

• 広告SDKは動作環境からファイルを収集して利用者でもアプリ開発者でもない外部に持ち出す
• 広告SDKはクリップボード内容を操作する

広告SDKには広告表示機能以外の機能も搭載されていた、というわけです。
広告機能が搭載されているということで、その機能が外部に通信することの怪しさが少ないということもあるように思えます。
怖いことを考えたものです。

ソフトウェアサプライチェーン問題です。
いろいろと考えさせられます。

参考記事（外部リンク）：Supply Chain Attack Infiltrates Android Apps with Malicious
SDK
www.cloudsek.com/threatintelligence/supply-chain-attack-infiltrates-android-apps-with-malicious-sdk