Существительное Объяснение:
SDK - это аббревиатура от английского Software Development Kit, то есть комплект для разработки программного обеспечения, который имеет различные виды. Если разработку программной системы сравнить со строительством "трехкомнатного" дома, то различные SDK - это "гостиная", "спальня", "ванная", "кухня" и другие функциональные модули этого дома. "Ванная", "Кухня" и другие функциональные модули. Чтобы построить хороший дом, нам нужно только выбрать функциональные модули от разных поставщиков для сборки, и больше не нужно начинать с "кирпичной кладки" "стены", тем самым значительно повышая эффективность разработки программного обеспечения.
С ростом популярности мобильных приложений мы все больше полагаемся на наборы для разработки программного обеспечения (SDK), но при этом сталкиваемся с рисками, связанными с данными, полученными с помощью SDK. Некоторые SDK могут чрезмерно собирать пользовательские данные, которые включают личную информацию, не связанную с предоставлением услуг, или даже принудительно предоставлять доступ к таким несущественным разрешениям, как геолокация, журналы вызовов, фотоальбомы и т. д., с такими функциями, как фотосъемка и запись. Благодаря большому количеству собранных данных эти SDK могут составлять профили различных групп пользователей и анализировать потенциально полезную информацию, такую как отношения между коллегами, местоположение подразделений, поведенческие привычки и т. д. Некоторые оффшорные поставщики SDK предлагают бесплатные услуги или платят разработчикам за получение данных. Например, разработчик приложения с 50 000 ежедневных активных пользователей в США может зарабатывать 1 500 долларов в месяц, а в обмен на это поставщик услуг SDK может собирать данные о местоположении пользователей из приложения.
Кроме того, иностранные спецслужбы также используют SDK в качестве важного канала сбора данных. Согласно сообщениям, Командование специальных операций США приобрело доступ к "коммерческим источникам телеметрических данных" у Anomaly Six, американского поставщика услуг SDK. По словам поставщика услуг, они встроили программное обеспечение SDK в более чем 500 приложений по всему миру и могут отслеживать информацию о местоположении примерно 3 миллиардов мобильных телефонов. Кроме того, в апреле 2022 года СМИ разоблачили панамскую компанию, которая тайно интегрировала свой SDK-код в миллионы мобильных устройств для сбора данных, заплатив разработчикам приложений по всему миру. Компания имеет тесные связи с оборонными подрядчиками, которые предоставляют такие услуги, как сбор киберразведданных для спецслужб США.
По данным отечественных властей, по состоянию на декабрь 2022 года в Китае было выявлено более 23 000 случаев использования образцов с иностранными SDK в 100 000 заголовочных приложениях, а всего в стране насчитывается около 380 миллионов терминалов, использующих иностранные SDK-приложения. Что же делать в этой ситуации?
Чтобы справиться с риском потери данных за SDK, мы можем предпринять следующие шаги:
Для компаний, занимающихся разработкой приложений:
Старайтесь обращаться к SDK, которые были зарегистрированы и сертифицированы для обеспечения их легитимности и надежности.
Проведите тестирование безопасности и оценку рисков перед внедрением оффшорных SDK, чтобы убедиться, что они не представляют опасности для пользовательских данных.
Внимательно изучите политику конфиденциальности SDK, чтобы убедиться, что она соответствует политике защиты конфиденциальности приложения.
Используя демонстрационные примеры SDK и тестовые среды APP, мы сравниваем соответствие содержания декларации SDK с реальным поведением и постоянно отслеживаем SDK на предмет аномального поведения.
Для индивидуальных пользователей:
Повышение осведомленности о защите личной информации и навыков ее безопасного использования.
Выбирайте безопасные и надежные каналы для загрузки и использования приложений и не устанавливайте приложения из неизвестных источников.
Не авторизуйтесь вслепую, особенно когда выясняется, что SDK-приложение не имеет никакого отношения к функциональности приложения, и будьте начеку.
Таковы меры противодействия рискам, связанным с данными SDK. Приняв надлежащие меры предосторожности, мы сможем лучше защитить безопасность и конфиденциальность пользовательских данных.
Ссылка: https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/foreign-spy-sdks-illegally-stealing-chinese-user-privacy-data.html.
