Substantiv Erläuterung:
SDK ist die Abkürzung für das englische Software Development Kit, d.h. ein Softwareentwicklungskit, das es in verschiedenen Ausführungen gibt. Wenn man die Entwicklung eines Softwaresystems mit dem Bau eines "Drei-Zimmer-Hauses" vergleicht, dann sind die verschiedenen SDKs das "Wohnzimmer", das "Schlafzimmer", das "Badezimmer", die "Küche" und andere Funktionsmodule dieses Hauses. "Badezimmer", "Küche" und andere funktionale Module. Um ein gutes Haus zu bauen, müssen wir nur die Funktionsmodule von verschiedenen Anbietern auswählen, um sie zusammenzusetzen, und müssen nicht mehr mit dem "Maurerhandwerk" beginnen, was die Effizienz der Softwareentwicklung erheblich verbessert.
Mit der Beliebtheit mobiler Anwendungen verlassen wir uns zunehmend auf Software Development Kits (SDKs), sind aber auch mit den damit verbundenen Datenrisiken konfrontiert. Einige SDKs sammeln möglicherweise übermäßig viele Nutzerdaten, darunter personenbezogene Informationen, die nicht mit der Bereitstellung von Diensten in Zusammenhang stehen, oder erzwingen sogar den Zugriff auf nicht wesentliche Berechtigungen wie Geolokalisierung, Anrufprotokolle, Fotoalben usw. mit Funktionen wie der Aufnahme von Fotos und Aufnahmen. Mit der großen Menge an gesammelten Daten können diese SDKs Profile verschiedener Benutzergruppen erstellen und potenziell nützliche Informationen analysieren, z. B. Beziehungen zwischen Mitarbeitern, Standorte von Einheiten, Verhaltensgewohnheiten usw. Einige Offshore-SDK-Anbieter bieten kostenlose Dienste an oder bezahlen Entwickler, um Daten zu erhalten. So kann beispielsweise der Entwickler einer App mit 50.000 täglich aktiven Nutzern in den USA 1.500 Dollar pro Monat verdienen, und im Gegenzug kann der SDK-Dienstleister die Standortdaten der Nutzer aus der App sammeln.
Darüber hinaus nutzen auch ausländische Nachrichtendienste SDKs als wichtigen Datenerfassungskanal. Berichten zufolge hat das United States Special Operations Command von Anomaly Six, einem in den USA ansässigen SDK-Anbieter, Zugang zu "kommerziellen Telemetriedatenquellen" erworben. Nach Angaben des Dienstanbieters hat dieser die SDK-Software in mehr als 500 Anwendungen auf der ganzen Welt eingebettet und ist in der Lage, die Standortinformationen von etwa 3 Milliarden Mobiltelefonen zu überwachen. Darüber hinaus deckten Medien im April 2022 ein panamaisches Unternehmen auf, das seinen SDK-Code heimlich in Millionen von Mobiltelefonen integriert hat, um durch Bezahlung von App-Entwicklern in aller Welt Daten zu sammeln. Das Unternehmen hat enge Verbindungen zu Rüstungsunternehmen, die Dienstleistungen wie die Sammlung von Cyber-Informationen für die US-Geheimdienste erbringen.
Nach Angaben der chinesischen Behörden wurden bis Dezember 2022 mehr als 23.000 Fälle von Mustern mit ausländischen SDKs in den 100.000 chinesischen Header-Anwendungen entdeckt, und es gibt etwa 380 Millionen inländische Endgeräte, die ausländische SDK-Anwendungen verwenden. Was sollten wir dagegen tun?
Um dem Risiko von Daten hinter dem SDK zu begegnen, können wir die folgenden Schritte unternehmen:
Für Unternehmen, die Anwendungen entwickeln:
Versuchen Sie, auf SDKs zuzugreifen, die registriert und zertifiziert wurden, um ihre Legitimität und Vertrauenswürdigkeit zu gewährleisten.
Führen Sie vor der Einführung von Offshore-SDKs Sicherheitstests und Risikobewertungen durch, um sicherzustellen, dass sie keine Gefahr für die Nutzerdaten darstellen.
Schauen Sie sich die Datenschutzrichtlinien des SDK genau an, um sicherzustellen, dass sie mit den Datenschutzrichtlinien der App übereinstimmen.
Anhand von SDK-Demobeispielen und APP-Testumgebungen vergleichen wir die Konsistenz des SDK-Deklarationsinhalts mit dem tatsächlichen Verhalten und überwachen das SDK kontinuierlich auf abnormales Verhalten.
Für einzelne Nutzer:
Stärkung des Bewusstseins für den Schutz persönlicher Daten und der Fähigkeiten zur sicheren Nutzung.
Wählen Sie sichere und zuverlässige Kanäle zum Herunterladen und Verwenden von Anwendungen und installieren Sie keine Anwendungen aus unbekannten Quellen.
Geben Sie nicht blindlings sensible Berechtigungen frei, insbesondere wenn sich herausstellt, dass die SDK-Anwendung nichts mit der Anwendungsfunktionalität zu tun hat, und seien Sie wachsam.
Dies sind die Gegenmaßnahmen zu den SDK-Datenrisiken. Wenn wir die richtigen Vorsichtsmaßnahmen treffen, können wir die Sicherheit und die Privatsphäre der Nutzerdaten besser schützen.
Referenz: https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/foreign-spy-sdks-illegally-stealing-chinese-user-privacy-data.html
