名詞解釋:
SDK是英文Software Development Kit的縮寫,即軟體開發工具包,它的類型多種多樣。如果把開發一個軟體系統比喻為蓋一所「三房一廳」的房子,那麼不同的SDK就是這套房子的「客廳」「臥室」「衛生間」「廚房」等功能模組。蓋好這套房子,我們只需要從不同的供應商那裡選擇這個功能模組拼裝即可,而不再需要從“砌磚”“壘牆”做起,從而極大提高了軟體開發的效率。
隨著行動應用程式的普及,我們越來越依賴軟體開發工具包(SDK),但同時也面臨與SDK相關的數據風險。有些SDK可能過度收集用戶數據,其中包括與提供服務無關的個人信息,甚至強制獲取非必要的權限如地理位置、通話記錄、相冊照片等,並具備拍照、錄音等功能。這些SDK透過蒐集的大量數據,可以對不同使用者群體進行畫像側寫,分析出潛在的有用訊息,如同事關係、單位位置、行為習慣等。一些境外SDK服務商為了取得數據,提供免費服務或向開發者付費。舉例來說,某應用程式在美國擁有5萬日活躍用戶,其開發者每月可獲得1500美元收入,而作為回報,SDK服務商可以從該應用程式收集用戶的位置資料。
此外,境外情報機構也將SDK視為重要的資料蒐集管道。報道稱,美國特種作戰司令部曾向美國的SDK服務商Anomaly Six購置了「商業遙測資料來源」的存取服務。據該服務商自稱,他們在全球超過500款應用程式中植入了SDK軟體,能夠監控約30億支手機的位置資訊。另外,2022年4月,相關媒體曝光了一家巴拿馬公司透過向世界各地的應用程式開發人員付費的方式,將其SDK程式碼秘密整合到數百萬台行動裝置上,從中收集資料。該公司與為美國情報機構提供網路情報蒐集等服務的國防承包商關係密切。
根據國內權威機構掌握,截至2022年12月,我國10萬個頭部應用中,共檢測出2.3萬餘例樣本使用境外SDK,使用境外SDK應用的境內終端約有3.8億台。對此,我們又該做些什麼呢?
為了應對SDK背後的數據風險,我們可以採取以下措施:
對於應用程式開發企業:
盡量選擇接入經過備案認證的SDK,確保其合法性和可信度。
在引入境外SDK之前,進行安全偵測和風險評估,以確保其不會對使用者資料造成風險。
深入了解SDK的隱私權政策,確保其與應用程式的隱私權保護政策一致。
利用SDK的演示範例和APP測試環境,對比SDK聲明內容與實際行為的一致性,並持續監測SDK是否有異常行為。
對於個人用戶:
增強個人資訊保護意識和安全使用技能。
選擇安全可靠的管道下載和使用應用程序,不要安裝來路不明的應用程式。
不盲目授權敏感權限,特別是當發現SDK申請與應用功能無關時,請保持高度警覺。
以上是對SDK資料風險的應對措施,透過適當的預防措施,我們可以更好地保護使用者資料的安全和隱私。
參考:https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg
原文文章,作者:首席安全官,如若轉載,請註明出處:https://cncso.com/tw/foreign-spy-sdks-illegally-stealing-chinese-user-privacy-data.html
