警惕!境外软件开发包背后的潜在数据窃密


您是否了解SDK是什么? SDK是软件开发工具包 (Software Development Kit) 的简称,种类繁多,密密麻麻。建造一个软件系统就像搭建一座“三室一厅”的房子,不同的SDK就如同这套房子中的“客厅”、“卧室”、“卫生间”、“厨房”等功能模块。我们只需要从各家供应商选取所需的功能模块拼装即可,免去了“砌砖”、“盖墙”的环节,进而显著提升了软件的开发效率。

然而,近年来,我们的国家安全机关发现,一些境外的机构和人员别有用心,正通过SDK搜集我国用户的数据和个人信息,对我们国家的安全构成了一定的隐患。这是怎么回事呢?为了深入理解,让我们先来详细了解一下,SDK带来的数据安全问题是什么。

首先,就是过度收集用户数据。有些SDK会收集与其提供的服务无关的个人信息,或是强制请求不必要的使用权限,比如获取地理位置、通话记录、相册照片等信息,甚至是拍照、录音等功能。当SDK的用户覆盖量达到一定规模时,就可以通过收集海量的数据,对不同用户群体进行画像,从而分析出有用的信息,如同事关系、单位位置、行为习惯等。有些境外SDK服务商,甚至通过向开发者提供免费服务,或者向开发者付费的方式来获取数据。

其次,就是境外情报机构利用SDK作为搜集数据的重要渠道。据报道,美国特种作战司令部曾从SDK服务商Anomaly Six处购买了”商业遥测数据源”的访问服务,这家服务商号称将SDK软件嵌入全球超过500款应用中,可以监控全球大约30亿部手机的位置信息。此外,2022年4月,有关媒体曝光了巴拿马一家公司正通过付费的方式,将其SDK代码整合到各地的应用程序中,秘密地从数百万台移动设备上收集数据,而这家公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。

那么,我们应如何防范并消除SDK背后的数据风险呢?首先,应用程序开发企业应选择接入备案认证的SDK,并在引入境外SDK之前做好安全检测和风险评估,深入了解SDK的隐私政策,利用SDK demo和APP测试环境来对SDK的声明内容进行一致性比对,并持续监测SDK是否有异常行为。

而对于个人用户来说,我们在使用手机应用程序时,应提高个人信息保护意识和安全使用技能,选择安全可靠的渠道来下载和使用应用程序,避免安装来源不明的应用,不盲目通过敏感权限的申请,特别是发现SDK申请与应用功能无关的权限时,需要保持高度警惕。总的来说,防范SDK风险,需要我们的共同努力。