SDK是英文Software Development Kit的缩写,是一种辅助开发某一类软件的相关文档、范例和工具的集合。在移动应用程序开发中,SDK通常用于提供某种功能或服务的插件,方便地嵌入到不同的APP中。近年来,国家安全机关工作发现,境外一些别有用心的组织和人员,正在通过SDK搜集我用户数据和个人信息,给我国家安全造成了一定风险隐患。
SDK在我国的应用背景非常广泛和深入,涵盖了移动支付、通信、实名制、移动互联网、人工智能等多个领域。
当前,SDK以其多样化、易用性和灵活性等优势成为移动供应产业链中最重要的一项服务,与此同时也带来诸多数据安全问题。
某些SDK可能会违规收集用户设备信息,如IMEI、地理位置等,用于数据分析和广告投放等目的。当SDK的用户覆盖量达到一定规模时,可以通过搜集的大量数据,对不同用户群体进行画像侧写,从而分析出潜在的有用信息,比如同事关系、单位位置、行为习惯等。
如果SDK存在安全漏洞,用户的个人信息可能会被黑客盗取,导致数据泄露。这些信息可能会被用于诈骗、身份盗用等恶意行为,给用户带来损失。
SDK搜集个人信息类型
一些SDK可能会将用户数据传输到境外服务器,这可能会导致数据泄露和滥用。例如,一些境外SDK服务商可能会通过向开发者提供免费服务等方式来获取数据,然后将其传输到境外服务器,从而给国家安全带来风险。
如果SDK被黑客攻击,他们可能会篡改收集的数据,导致应用行为异常或影响用户的数据完整性。
05
数据滥用
一些SDK可能会将收集到的用户数据用于不正当的目的,如用于商业竞争、政治活动等。例如,一些应用程序可能会将用户的个人信息出售给第三方,或者用于分析用户的消费习惯和行为模式,以获取商业利益。
消除SDK背后的数据风险
我们应该怎么做?
根据中国互联网络信息中心统计数据显示,截止2018年12月,我国手机网民规模高达8.17亿;2018年工信部数据统计,我国市场上可监测到的移动应用程序总量达449万款;而根据2019年第三方机构的数据报告显示,平均每款APP使用的SDK数量达19.3个。截至2022年12月,我国10万个头部应用中,共检测出2.3万余例样本使用境外SDK,使用境外SDK应用的境内终端约有3.8亿台。从上述数据可以看出,第三方SDK如今在移动互联网领域被广泛应用。对此,我们又应该做些什么呢?
SDK申请收集用户信息占比
应尽量选择接入经过备案认证的SDK,引入境外SDK前应做好安全检测和风险评估,深入了解SDK的隐私政策,并利用SDK demo以及APP测试环境对SDK声明内容进行一致性比对,并持续监测SDK是否有异常行为。
个人用户在使用手机应用程序时,要增强个人信息保护意识及安全使用技能,要选择安全可靠的渠道下载使用应用程序,不安装来路不明的应用,不盲目通过敏感权限的申请。特别是发现SDK申请与应用功能无关的权限时,需要保持高度警惕。
2021年以来,国家陆续出台了《个人信息保护法》、《网络安全法》等律法建立了健全的隐私保护制度,保护大数据时代下的个人信息安全与隐私。对于每个用户来讲,我们很难判断哪些软件是安全的,因此我们应谨慎开放软件权限,有意识的保护自己的隐私。而作为 SDK服务商,更要遵守国家法律,从根源做起,绝不写入恶意功能。SDK开发商和使用商都应重视SDK的数据安全风险,并采取必要措施进行防范,以保护用户隐私和数据安全。