|
近期,工业和信息化部组织第三方检测机构 对群众关注的 在线影音、网上购物等移动互联网应用程序APP,以及第三方软件开发工具包(SDK)进行检查。发现22款APP、SDK存在侵害用户权益行为。其中包括 由长沙小尹信息科技有限公司开发的视频剪辑助手、辽宁爱音斯坦FM、广州天天趣刷、深圳的快递100等等。 据国内权威机构掌握,截至2022年12月,我国10万个头部应用中,共检测出2万3000多例样本使用境外SDK,使用境外SDK应用的境内终端大约有3.8亿台。 SDK是什么? SDK是英文Software Development Kit的缩写,即软件开发工具包。 奇安信隐私安全业务负责人赵帅解释,如果把开发软件的过程比喻成制造一辆汽车,手上只有一个发动机,而制造汽车还需要轮子、玻璃等配件。这时,我们可以找一些与已有软件功能相匹配的组件,将它们组装在一起,形成一个完整的软件。这些组件就是SDK,就像我们在软件开发过程中使用的乐高积木。 比如开发一个新闻资讯APP,将这个APP放到应用商店后,供人下载使用。开发者想知道有多少人正在使用此APP及其使用时间,就可以在开发时加入一个数据统计分析的SDK,它会提供一套完整的用户日活、月活分析功能,这样就加快了软件开发效率。  境外SDK的数据窃密有何风险? 赵帅表示,境外SDK被嵌入APP后,会跟随APP一起运行。如果用户允许APP获取自己的若干权限,比如设备信息、定位信息、同一个局域网内的设备信息、联系人信息等,一段时间后,这些数据会在其服务器端积累起来,用户的工作、生活等信息都会被记录下来,这些信息可以用来推测出机主的住址、职业、年龄等用户画像。 从信息泄密的风险上来看,首先,SDK数据获取需要权限,给APP的权限越多,它能获取的数据种类和数量就越多,对于特定用户画像描绘得就越准确,从而产生更大的危害性。 其次,每个APP的下载量从几万、几十万到几百万不等,其涉及到的用户规模越大,收集的数据越多,产生的影响也就越大。数据达到一定规模后,可以对更广泛的群体进行特征推测,甚至可以针对性地涉及一些特定人群的特征,比如国家安全部门或保密单位的人群,这类数据泄密的危害性就更大。 此外,信息收集持续时间的长短也是风险因素之一。如果持续数年进行数据采集,就可以更准确地描绘出一个人的活动轨迹、习惯等,从而更准确地预测其行为。  SDK背后的数据风险如何消除? 赵帅认为,对个人用户来说,一方面,在下载APP时,应尽量从主流应用商店下载,不要在不知名下载站或通过未知二维码链接下载,这样能够尽可能地避免被非法APP违规收集数据的情况发生。 另一方面,在安装APP后,可以通过手机的“设置”对APP进行权限管理,就像是给APP戴上紧箍咒。要有主动意识去做权限管控:比如某个应用是新闻资讯类APP,却申请通讯录权限或摄像头权限等,那就可以选择拒绝。 从平台层面来说,应用商店在上架APP之前,应当对APP进行技术检测评估; 此外,企业在开发软件时,也有一些需注意的地方。对于软件中嵌入的SDK,一般正规企业内部都会有审查认证流程。值得注意的是,新闻里提到的境外开发组织,就会通过利诱方式让开发者使用它的代码去收集用户个人信息,开发者要意识到这是违法行为,注意规避。 来源:BRTV新闻建外14号 |
|
|
