中國國家安全部:有境外組織正通過SDK搜集我方數據和信息香港新聞網10月27日電 你知道SDK是什麼嗎?SDK是英文Software Development Kit的縮寫,即軟件開發工具包,它的類型多種多樣。如果把開發一個軟件系統比作蓋一所“三室一廳”的房子,那麼不同的SDK就是這套房子的“客廳”“臥室”“衛生間”“厨房”等功能模塊。蓋好這套房子,我們只需要從不同的供應商那里選擇這個功能模塊拼裝即可,而不再需要從“砌磚”“壘牆”做起,從而極大提高了軟件開發的效率。據中國國家安全部官方網站27日消息,近年來,中國國家安全機關工作發現,境外一些別有用心的組織和人員,正在通過SDK搜集中國用戶數據和個人信息,給中國國家安全造成了一定風險隱患。
示意圖 SDK帶來哪些數據安全問題? 當前,SDK以其多樣化、易用性和靈活性等優勢成為移動供應產業鏈中最重要的一項服務,與此同時也帶來諸多數據安全問題。 ——過度收集用戶數據。 有些SDK會收集與提供服務無關的個人信息,或強制申請非必要的使用權限,比如獲取地理位置、通話記錄、相册照片等信息以及拍照、錄音等功能。 當SDK的用戶覆蓋量達到一定規模時,可以通過搜集的大量數據,對不同用戶群體進行畫像側寫,從而分析出潛在的有用信息,比如同事關係、單位位置、行為習慣等。 一些境外SDK服務商,通過向開發者提供免費服務,甚至通過向開發者付費等方式來獲取數據。 據相關網站披露,一款在美國擁有5萬日活躍用戶的應用程序,其開發者通過使用某SDK,每月可以獲得1500美元的收入。作為回報,該SDK服務商可以從這款應用程序中收集用戶的位置數據。
△SDK搜集個人信息類型 ——境外情報機構將SDK作為搜集數據的重要渠道。 據報道,美國特種作戰司令部曾向美國SDK服務商Anomaly Six購置了“商業遙測數據源”的訪問服務,而該服務商曾自稱將SDK軟件植入全球超過500款應用中,可以監控全球大約30億部手機的位置信息。 2022年4月,有關媒體曝光巴拿馬一家公司通過向世界各地的應用程序開發人員付費的方式,將其SDK代碼整合到應用程序中,秘密地從數百萬台移動設備上收集數據,而該公司與為美國情報機構提供網絡情報搜集等服務的國防承包商關係密切。
△《華爾街日報》:美國政府承包商在多個手機App中嵌入跟蹤軟件 消除SDK背後的數據風險 我們應該怎麼做? 據中國國內權威機構掌握,截至2022年12月,中國10萬個頭部應用中,共檢測出2.3萬餘例樣本使用境外SDK,使用境外SDK應用的境內終端約有3.8億台。對此,我們又應該做些什麼呢?
△SDK申請收集用戶信息占比 ——應用程序開發企業: 應盡量選擇接入經過備案認證的SDK,引入境外SDK前應做好安全檢測和風險評估,深入瞭解SDK的隱私政策,并利用SDK demo以及App測試環境對SDK聲明內容進行一致性比對,并持續監測SDK是否有異常行為。 ——個人用戶: 個人用戶在使用手機應用程序時,要增強個人信息保護意識及安全使用技能,要選擇安全可靠的渠道下載使用應用程序,不安裝來路不明的應用,不盲目通過敏感權限的申請。特別是發現SDK申請與應用功能無關的權限時,需要保持高度警惕。(完) 【編輯:許豐悅】
|
