微信公眾號(hào)“國家安全部”10月27日發(fā)文，介紹一些境外SDK背后的“數(shù)據(jù)間諜”竊密風(fēng)險(xiǎn)。

你知道SDK是什么嗎？SDK是英文Software Development Kit的縮寫，即軟件開發(fā)工具包，它的類型多種多樣。如果把開發(fā)一個(gè)軟件系統(tǒng)比作蓋一所“三室一廳”的房子，那么不同的SDK就是這套房子的“客廳”“臥室”“衛(wèi)生間”“廚房”等功能模塊。蓋好這套房子，我們只需要從不同的供應(yīng)商那里選擇這個(gè)功能模塊拼裝即可，而不再需要從“砌磚”“壘墻”做起，從而極大提高了軟件開發(fā)的效率。近年來，國家安全機(jī)關(guān)工作發(fā)現(xiàn)，境外一些別有用心的組織和人員，正在通過SDK搜集我用戶數(shù)據(jù)和個(gè)人信息，給我國家安全造成了一定風(fēng)險(xiǎn)隱患。

SDK帶來哪些數(shù)據(jù)安全問題？

當(dāng)前，SDK以其多樣化、易用性和靈活性等優(yōu)勢成為移動(dòng)供應(yīng)產(chǎn)業(yè)鏈中最重要的一項(xiàng)服務(wù)，與此同時(shí)也帶來諸多數(shù)據(jù)安全問題。

——過度收集用戶數(shù)據(jù)。有些SDK會(huì)收集與提供服務(wù)無關(guān)的個(gè)人信息，或強(qiáng)制申請(qǐng)非必要的使用權(quán)限，比如獲取地理位置、通話記錄、相冊(cè)照片等信息以及拍照、錄音等功能。當(dāng)SDK的用戶覆蓋量達(dá)到一定規(guī)模時(shí)，可以通過搜集的大量數(shù)據(jù)，對(duì)不同用戶群體進(jìn)行畫像側(cè)寫，從而分析出潛在的有用信息，比如同事關(guān)系、單位位置、行為習(xí)慣等。一些境外SDK服務(wù)商，通過向開發(fā)者提供免費(fèi)服務(wù)，甚至向開發(fā)者付費(fèi)等方式來獲取數(shù)據(jù)。據(jù)相關(guān)網(wǎng)站披露，一款在美國擁有5萬日活躍用戶的應(yīng)用程序，其開發(fā)者通過使用某SDK，每月可以獲得1500美元的收入。作為回報(bào)，該SDK服務(wù)商可以從這款應(yīng)用程序中收集用戶的位置數(shù)據(jù)。

SDK搜集個(gè)人信息類型

——境外情報(bào)機(jī)構(gòu)將SDK作為搜集數(shù)據(jù)的重要渠道。據(jù)報(bào)道，美國特種作戰(zhàn)司令部曾向美國SDK服務(wù)商Anomaly Six購置了“商業(yè)遙測數(shù)據(jù)源”的訪問服務(wù)，而該服務(wù)商曾自稱將SDK軟件植入全球超過500款應(yīng)用中，可以監(jiān)控全球大約30億部手機(jī)的位置信息。2022年4月，有關(guān)媒體曝光巴拿馬一家公司通過向世界各地的應(yīng)用程序開發(fā)人員付費(fèi)的方式，將其SDK代碼整合到應(yīng)用程序中，秘密地從數(shù)百萬臺(tái)移動(dòng)設(shè)備上收集數(shù)據(jù)，而該公司與為美國情報(bào)機(jī)構(gòu)提供網(wǎng)絡(luò)情報(bào)搜集等服務(wù)的國防承包商關(guān)系密切。

《華爾街日?qǐng)?bào)》：美國政府承包商在多個(gè)手機(jī)APP中嵌入跟蹤軟件

消除SDK背后的數(shù)據(jù)風(fēng)險(xiǎn)

我們應(yīng)該怎么做？

據(jù)國內(nèi)權(quán)威機(jī)構(gòu)掌握，截至2022年12月，我國10萬個(gè)頭部應(yīng)用中，共檢測出2.3萬余例樣本使用境外SDK，使用境外SDK應(yīng)用的境內(nèi)終端約有3.8億臺(tái)。對(duì)此，我們又應(yīng)該做些什么呢？

SDK申請(qǐng)收集用戶信息占比

——應(yīng)用程序開發(fā)企業(yè)：應(yīng)盡量選擇接入經(jīng)過備案認(rèn)證的SDK，引入境外SDK前應(yīng)做好安全檢測和風(fēng)險(xiǎn)評(píng)估，深入了解SDK的隱私政策，并利用SDK demo以及APP測試環(huán)境對(duì)SDK聲明內(nèi)容進(jìn)行一致性比對(duì)，并持續(xù)監(jiān)測SDK是否有異常行為。

——個(gè)人用戶：個(gè)人用戶在使用手機(jī)應(yīng)用程序時(shí)，要增強(qiáng)個(gè)人信息保護(hù)意識(shí)及安全使用技能，要選擇安全可靠的渠道下載使用應(yīng)用程序，不安裝來路不明的應(yīng)用，不盲目通過敏感權(quán)限的申請(qǐng)。特別是發(fā)現(xiàn)SDK申請(qǐng)與應(yīng)用功能無關(guān)的權(quán)限時(shí)，需要保持高度警惕。