10月24日消息，360互聯網安全中心發布《2014年APP廣告插件安全研究報告》(以下簡稱報告)。報告中指出，在測試的10款廣告插件中，有3款存在安全漏洞，占比達到30%。360手機安全專家表示，所謂的安全漏洞本身可能是插件廠商預留，目的是可以遠程控制插件，但由于缺乏有效的驗證機制，這些后門很可能被攻擊者利用。

有數據顯示，截止2014年6月，手機網民規模達5.27億，移動終端已經成為一種重要的媒介，它滲透進人們的生活中并影響越來越深。這一點從移動廣告的增長趨勢就可見一斑：根據艾媒咨詢數據顯示，2013年中國移動廣告平臺市場整體規模為25.9億元，同比增長144.3%，2014年將達到50.1億元。到2018年的市場規模有望達到227.1億元。

移動廣告規模的快速增長也讓上百家移動廣告平臺涌現出來，依靠在應用中植入廣告插件，收取廣告費用來盈利。但由于移動互聯網增長速度太快，這些平臺的規模大小不一，提供的插件質量也良莠不齊。而且缺乏統一的監管辦法，這也讓廣告插件成為手機中的“定時炸彈”，隨時有威脅手機安全的可能。

《報告》指出，在此次測試的10款廣告插件中，有3款被檢測出存在動態加載校驗漏洞，這3款存在漏洞的插件中，還有一款存在Javascript代碼任意執行漏洞。此外，米迪，D.push，appquanta.com這三個廣告插件雖然未在TOP10的廣告插件中，但也具有很大的影響力，也存在上述安全漏洞。

360手機安全專家在接受記者采訪時表示，動態加載校驗漏洞不會對下載應用的數字簽名進行校驗，因此很可能在更新時下載并安裝被篡改過的更新包或惡意更新包，進而使用戶手機感染木馬病毒并面臨安全威脅。

而Javascript是一種腳本語言，不少廣告插件就是使用這種語言編寫而成。但是，由于Javascript代碼具有一定的本地執行能力，如果不對Javascript代碼的安全性進行任何校驗就直接運行，則可能導致惡意編寫的Javascript代碼被執行，進而使手機遭到攻擊甚至感染木馬病毒。

這兩類安全漏洞都會對手機造成嚴重的安全隱患，而且手機木馬的作案目標往往是支付應用、網銀這種直接與金錢掛鉤的軟件。這些軟件一旦被木馬攻破，就很有可能造成經濟損失。對此360手機安全專家表示，360手機衛士可以對當前最新的木馬病毒進行查殺攔截，此外還可以對廣告插件進行管理，以免出現不必要的安全隱患。