名词解释:
SDK是英文Software Development Kit的缩写,即软件开发工具包,它的类型多种多样。如果把开发一个软件系统比作盖一所“三室一厅”的房子,那么不同的SDK就是这套房子的“客厅”“卧室”“卫生间”“厨房”等功能模块。盖好这套房子,我们只需要从不同的供应商那里选择这个功能模块拼装即可,而不再需要从“砌砖”“垒墙”做起,从而极大提高了软件开发的效率。
随着移动应用程序的普及,我们越来越依赖于软件开发工具包(SDK),但同时也面临着与SDK相关的数据风险。一些SDK可能过度收集用户数据,其中包括与提供服务无关的个人信息,甚至强制获取非必要的权限如地理位置、通话记录、相册照片等,并具备拍照、录音等功能。这些SDK通过搜集的大量数据,可以对不同用户群体进行画像侧写,分析出潜在的有用信息,如同事关系、单位位置、行为习惯等。一些境外SDK服务商为了获取数据,提供免费服务或向开发者付费。举例来说,某应用程序在美国拥有5万日活跃用户,其开发者每月可获得1500美元收入,而作为回报,SDK服务商可以从该应用程序中收集用户的位置数据。
此外,境外情报机构也将SDK作为重要的数据搜集渠道。报道称,美国特种作战司令部曾向美国的SDK服务商Anomaly Six购置了“商业遥测数据源”的访问服务。据该服务商自称,他们在全球超过500款应用中植入了SDK软件,能够监控大约30亿部手机的位置信息。另外,2022年4月,有关媒体曝光了一家巴拿马公司通过向世界各地的应用程序开发人员付费的方式,将其SDK代码秘密整合到数百万台移动设备上,从中收集数据。该公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。
据国内权威机构掌握,截至2022年12月,我国10万个头部应用中,共检测出2.3万余例样本使用境外SDK,使用境外SDK应用的境内终端约有3.8亿台。对此,我们又应该做些什么呢?
为了应对SDK背后的数据风险,我们可以采取以下措施:
对于应用程序开发企业:
尽量选择接入经过备案认证的SDK,确保其合法性和可信度。
在引入境外SDK之前,进行安全检测和风险评估,以确保其不会对用户数据造成风险。
深入了解SDK的隐私政策,确保其与应用程序的隐私保护政策一致。
利用SDK的演示示例和APP测试环境,对比SDK声明内容与实际行为的一致性,并持续监测SDK是否存在异常行为。
对于个人用户:
增强个人信息保护意识和安全使用技能。
选择安全可靠的渠道下载和使用应用程序,不要安装来路不明的应用。
不盲目授权敏感权限,特别是当发现SDK申请与应用功能无关时,要保持高度警惕。
以上是对SDK数据风险的应对措施,通过采取适当的预防措施,我们可以更好地保护用户数据的安全和隐私。
参考:https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/foreign-spy-sdks-illegally-stealing-chinese-user-privacy-data.html