国家安全部：警惕一些境外 SDK 背后的“数据间谍”窃密

本文转载自 国家安全部微信公众号

你知道SDK是什么吗？SDK是英文Software Development Kit的缩写，即软件开发工具包，它的类型多种多样。如果把开发一个软件系统比作盖一所“三室一厅”的房子，那么不同的SDK就是这套房子的“客厅”“卧室”“卫生间”“厨房”等功能模块。盖好这套房子，我们只需要从不同的供应商那里选择这个功能模块拼装即可，而不再需要从“砌砖”“垒墙”做起，从而极大提高了软件开发的效率。

近年来，国家安全机关工作发现，境外一些别有用心的组织和人员，正在通过SDK搜集我用户数据和个人信息，给我国家安全造成了一定风险隐患。

SDK带来哪些数据安全问题？

当前，SDK以其多样化、易用性和灵活性等优势成为移动供应产业链中最重要的一项服务，与此同时也带来诸多数据安全问题。

• 过度收集用户数据

有些SDK会收集与提供服务无关的个人信息，或强制申请非必要的使用权限，比如获取地理位置、通话记录、相册照片等信息以及拍照、录音等功能。当SDK的用户覆盖量达到一定规模时，可以通过搜集的大量数据，对不同用户群体进行画像侧写，从而分析出潜在的有用信息，比如同事关系、单位位置、行为习惯等。

一些境外SDK服务商，通过向开发者提供免费服务，甚至向开发者付费等方式来获取数据。据相关网站披露，一款在美国拥有5万日活跃用户的应用程序，其开发者通过使用某SDK，每月可以获得1500美元的收入。作为回报，该SDK服务商可以从这款应用程序中收集用户的位置数据。

SDK搜集个人信息类型

• 境外情报机构将SDK作为搜集数据的重要渠道

据报道，美国特种作战司令部曾向美国SDK服务商Anomaly Six购置了“商业遥测数据源”的访问服务，而该服务商曾自称将SDK软件植入全球超过500款应用中，可以监控全球大约30亿部手机的位置信息。

2022年4月，有关媒体曝光巴拿马一家公司通过向世界各地的应用程序开发人员付费的方式，将其SDK代码整合到应用程序中，秘密地从数百万台移动设备上收集数据，而该公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。

《华尔街日报》：美国政府承包商在多个手机APP中嵌入跟踪软件

消除SDK背后的数据风险我们应该怎么做？

据国内权威机构掌握，截至2022年12月，我国10万个头部应用中，共检测出2.3万余例样本使用境外SDK，使用境外SDK应用的境内终端约有3.8亿台。对此，我们又应该做些什么呢？

SDK申请收集用户信息占比

• 应用程序开发企业：应尽量选择接入经过备案认证的SDK，引入境外SDK前应做好安全检测和风险评估，深入了解SDK的隐私政策，并利用SDK demo以及APP测试环境对SDK声明内容进行一致性比对，并持续监测SDK是否有异常行为。
• 个人用户：个人用户在使用手机应用程序时，要增强个人信息保护意识及安全使用技能，要选择安全可靠的渠道下载使用应用程序，不安装来路不明的应用，不盲目通过敏感权限的申请。特别是发现SDK申请与应用功能无关的权限时，需要保持高度警惕。