SDK是什么?SDK背后的数据风险如何消除?

“国家安全部”微信公号今天消息,近年来,国家安全机关工作发现,境外一些别有用心的组织和人员,正在通过SDK搜集我用户数据和个人信息,给我国家安全造成了一定风险隐患。国家安全部提出:要警惕一些境外SDK背后的“数据间谍”窃密。

 

近期,工业和信息化部组织第三方检测机构 对群众关注的 在线影音、网上购物等移动互联网应用程序APP,以及第三方软件开发工具包(SDK)进行检查。发现22款APP、SDK存在侵害用户权益行为。其中包括 由长沙小尹信息科技有限公司开发的视频剪辑助手、辽宁爱音斯坦FM、广州天天趣刷、深圳的快递100等等。

据国内权威机构掌握,截至2022年12月,我国10万个头部应用中,共检测出2万3000多例样本使用境外SDK,使用境外SDK应用的境内终端大约有3.8亿台。

 

SDK是什么?

SDK是英文Software Development Kit的缩写,即软件开发工具包。

 

奇安信隐私安全业务负责人赵帅解释,如果把开发软件的过程比喻成制造一辆汽车,手上只有一个发动机,而制造汽车还需要轮子、玻璃等配件。这时,我们可以找一些与已有软件功能相匹配的组件,将它们组装在一起,形成一个完整的软件。这些组件就是SDK,就像我们在软件开发过程中使用的乐高积木。

比如开发一个新闻资讯APP,将这个APP放到应用商店后,供人下载使用。开发者想知道有多少人正在使用此APP及其使用时间,就可以在开发时加入一个数据统计分析的SDK,它会提供一套完整的用户日活、月活分析功能,这样就加快了软件开发效率。

境外SDK的数据窃密有何风险?

赵帅表示,境外SDK被嵌入APP后,会跟随APP一起运行。如果用户允许APP获取自己的若干权限,比如设备信息、定位信息、同一个局域网内的设备信息、联系人信息等,一段时间后,这些数据会在其服务器端积累起来,用户的工作、生活等信息都会被记录下来,这些信息可以用来推测出机主的住址、职业、年龄等用户画像

 

从信息泄密的风险上来看,首先,SDK数据获取需要权限,给APP的权限越多,它能获取的数据种类和数量就越多,对于特定用户画像描绘得就越准确,从而产生更大的危害性。

 

其次,每个APP的下载量从几万、几十万到几百万不等,其涉及到的用户规模越大,收集的数据越多,产生的影响也就越大。数据达到一定规模后可以对更广泛的群体进行特征推测,甚至可以针对性地涉及一些特定人群的特征,比如国家安全部门或保密单位的人群,这类数据泄密的危害性就更大。

此外,信息收集持续时间的长短也是风险因素之一如果持续数年进行数据采集,就可以更准确地描绘出一个人的活动轨迹、习惯等,从而更准确地预测其行为。

SDK背后的数据风险如何消除?

赵帅认为,对个人用户来说,一方面,在下载APP时,应尽量从主流应用商店下载,不要在不知名下载站或通过未知二维码链接下载,这样能够尽可能地避免被非法APP违规收集数据的情况发生。

另一方面,在安装APP后,可以通过手机的“设置”对APP进行权限管理,就像是给APP戴上紧箍咒。要有主动意识去做权限管控:比如某个应用是新闻资讯类APP,却申请通讯录权限或摄像头权限等,那就可以选择拒绝。

平台层面来说,应用商店在上架APP之前,应当对APP进行技术检测评估;

此外,企业在开发软件时,也有一些需注意的地方。对于软件中嵌入的SDK,一般正规企业内部都会有审查认证流程。值得注意的是,新闻里提到的境外开发组织,就会通过利诱方式让开发者使用它的代码去收集用户个人信息,开发者要意识到这是违法行为,注意规避。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/32111.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年3月28日 下午1:00
下一篇 2024年3月28日 下午1:01

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注