你知道 SDK 是什么吗?SDK 是英文 Software Development Kit 的缩写,即软件开发工具包,它的类型多种多样。如果把开发一个软件系统比作盖一所 “三室一厅” 的房子,那么不同的 SDK 就是这套房子的 “客厅”“卧室”“卫生间”“厨房” 等功能模块。盖好这套房子,我们只需要从不同的供应商那里选择这个功能模块拼装即可,而不再需要从 “砌砖”“垒墙” 做起,从而极大提高了软件开发的效率。
近年来,国家安全机关工作发现,境外一些别有用心的组织和人员,正在通过 SDK 搜集我用户数据和个人信息,给我国家安全造成了一定风险隐患。
SDK 带来哪些数据安全问题?
当前,SDK 以其多样化、易用性和灵活性等优势成为移动供应产业链中最重要的一项服务,与此同时也带来诸多数据安全问题。
- 过度收集用户数据
有些 SDK 会收集与提供服务无关的个人信息,或强制申请非必要的使用权限,比如获取地理位置、通话记录、相册照片等信息以及拍照、录音等功能。当 SDK 的用户覆盖量达到一定规模时,可以通过搜集的大量数据,对不同用户群体进行画像侧写,从而分析出潜在的有用信息,比如同事关系、单位位置、行为习惯等。
一些境外 SDK 服务商,通过向开发者提供免费服务,甚至向开发者付费等方式来获取数据。据相关网站披露,一款在美国拥有 5 万日活跃用户的应用程序,其开发者通过使用某 SDK,每月可以获得 1500 美元的收入。作为回报,该 SDK 服务商可以从这款应用程序中收集用户的位置数据。
SDK 搜集个人信息类型
- 境外情报机构将 SDK 作为搜集数据的重要渠道
据报道,美国特种作战司令部曾向美国 SDK 服务商 Anomaly Six 购置了 “商业遥测数据源” 的访问服务,而该服务商曾自称将 SDK 软件植入全球超过 500 款应用中,可以监控全球大约 30 亿部手机的位置信息。
2022 年 4 月,有关媒体曝光巴拿马一家公司通过向世界各地的应用程序开发人员付费的方式,将其 SDK 代码整合到应用程序中,秘密地从数百万台移动设备上收集数据,而该公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。
《华尔街日报》:美国政府承包商在多个手机 APP 中嵌入跟踪软件
消除 SDK 背后的数据风险我们应该怎么做?
据国内权威机构掌握,截至 2022 年 12 月,我国 10 万个头部应用中,共检测出 2.3 万余例样本使用境外 SDK,使用境外 SDK 应用的境内终端约有 3.8 亿台。对此,我们又应该做些什么呢?
SDK 申请收集用户信息占比
- 应用程序开发企业:应尽量选择接入经过备案认证的 SDK,引入境外 SDK 前应做好安全检测和风险评估,深入了解 SDK 的隐私政策,并利用 SDK demo 以及 APP 测试环境对 SDK 声明内容进行一致性比对,并持续监测 SDK 是否有异常行为。
- 个人用户:个人用户在使用手机应用程序时,要增强个人信息保护意识及安全使用技能,要选择安全可靠的渠道下载使用应用程序,不安装来路不明的应用,不盲目通过敏感权限的申请。特别是发现 SDK 申请与应用功能无关的权限时,需要保持高度警惕。
