你知道 SDK 是什么嗎？SDK 是英文 Software Development Kit 的縮寫，即軟件開發(fā)工具包，它的類型多種多樣。如果把開發(fā)一個軟件系統(tǒng)比作蓋一所 “三室一廳” 的房子，那么不同的 SDK 就是這套房子的 “客廳”“臥室”“衛(wèi)生間”“廚房” 等功能模塊。蓋好這套房子，我們只需要從不同的供應商那里選擇這個功能模塊拼裝即可，而不再需要從 “砌磚”“壘墻” 做起，從而極大提高了軟件開發(fā)的效率。

近年來，國家安全機關工作發(fā)現(xiàn)，境外一些別有用心的組織和人員，正在通過 SDK 搜集我用戶數(shù)據(jù)和個人信息，給我國家安全造成了一定風險隱患。

SDK 帶來哪些數(shù)據(jù)安全問題？

當前，SDK 以其多樣化、易用性和靈活性等優(yōu)勢成為移動供應產業(yè)鏈中最重要的一項服務，與此同時也帶來諸多數(shù)據(jù)安全問題。

• 過度收集用戶數(shù)據(jù)

有些 SDK 會收集與提供服務無關的個人信息，或強制申請非必要的使用權限，比如獲取地理位置、通話記錄、相冊照片等信息以及拍照、錄音等功能。當 SDK 的用戶覆蓋量達到一定規(guī)模時，可以通過搜集的大量數(shù)據(jù)，對不同用戶群體進行畫像側寫，從而分析出潛在的有用信息，比如同事關系、單位位置、行為習慣等。

一些境外 SDK 服務商，通過向開發(fā)者提供免費服務，甚至向開發(fā)者付費等方式來獲取數(shù)據(jù)。據(jù)相關網(wǎng)站披露，一款在美國擁有 5 萬日活躍用戶的應用程序，其開發(fā)者通過使用某 SDK，每月可以獲得 1500 美元的收入。作為回報，該 SDK 服務商可以從這款應用程序中收集用戶的位置數(shù)據(jù)。

SDK 搜集個人信息類型

• 境外情報機構將 SDK 作為搜集數(shù)據(jù)的重要渠道

據(jù)報道，美國特種作戰(zhàn)司令部曾向美國 SDK 服務商 Anomaly Six 購置了 “商業(yè)遙測數(shù)據(jù)源” 的訪問服務，而該服務商曾自稱將 SDK 軟件植入全球超過 500 款應用中，可以監(jiān)控全球大約 30 億部手機的位置信息。

2022 年 4 月，有關媒體曝光巴拿馬一家公司通過向世界各地的應用程序開發(fā)人員付費的方式，將其 SDK 代碼整合到應用程序中，秘密地從數(shù)百萬臺移動設備上收集數(shù)據(jù)，而該公司與為美國情報機構提供網(wǎng)絡情報搜集等服務的國防承包商關系密切。

《華爾街日報》：美國政府承包商在多個手機 APP 中嵌入跟蹤軟件

消除 SDK 背后的數(shù)據(jù)風險我們應該怎么做？

據(jù)國內權威機構掌握，截至 2022 年 12 月，我國 10 萬個頭部應用中，共檢測出 2.3 萬余例樣本使用境外 SDK，使用境外 SDK 應用的境內終端約有 3.8 億臺。對此，我們又應該做些什么呢？

SDK 申請收集用戶信息占比

• 應用程序開發(fā)企業(yè)：應盡量選擇接入經(jīng)過備案認證的 SDK，引入境外 SDK 前應做好安全檢測和風險評估，深入了解 SDK 的隱私政策，并利用 SDK demo 以及 APP 測試環(huán)境對 SDK 聲明內容進行一致性比對，并持續(xù)監(jiān)測 SDK 是否有異常行為。
• 個人用戶：個人用戶在使用手機應用程序時，要增強個人信息保護意識及安全使用技能，要選擇安全可靠的渠道下載使用應用程序，不安裝來路不明的應用，不盲目通過敏感權限的申請。特別是發(fā)現(xiàn) SDK 申請與應用功能無關的權限時，需要保持高度警惕。