SDK是SoftwareDevelopment Kit的縮寫，即“軟件開發(fā)工具包”。簡(jiǎn)單來(lái)說(shuō)，它是輔助開發(fā)移動(dòng)應(yīng)用軟件（APP）的相關(guān)文檔、范例和工具的集合。

      對(duì) App 開發(fā)者來(lái)說(shuō)，為了提高開發(fā)效率、降低成本，可以將某項(xiàng)功能交給第三方來(lái)開發(fā)，第三方服務(wù)提供商將服務(wù)封裝為工具包（即SDK）供App開發(fā)者使用。

      現(xiàn)如今，App開發(fā)者使用第三方SDK已經(jīng)成為普遍現(xiàn)象。然而，第三方SDK自身存在的安全漏洞，以及隱瞞收集個(gè)人信息等問題，使得其安全現(xiàn)狀不容樂觀，需要引起各方重視。

App使用第三方SDK現(xiàn)狀：

      近年來(lái)，我國(guó)智能手機(jī)普及率持續(xù)攀升。據(jù)美國(guó)媒體機(jī)構(gòu)Zenith發(fā)布的最新研究報(bào)告預(yù)測(cè)，中國(guó)智能手機(jī)用戶數(shù)量將位居全球第一，達(dá)到13億。龐大的智能手機(jī)用戶群體托起了我國(guó)繁榮的移動(dòng)應(yīng)用軟件（App）市場(chǎng)，以及為App提供信息推送、廣告分發(fā)、數(shù)據(jù)分析、地圖導(dǎo)航等功能的第三方SDK服務(wù)市場(chǎng)。

 

（一）第三方SDK的主要類型

      目前，最常見、使用最多的SDK類型包括第三方登錄分享類、支付類、推送類、廣告類和數(shù)據(jù)統(tǒng)計(jì)分析類。前兩種類型相對(duì)好理解，下面主要介紹后三種SDK類型的情況：

 

1、推送類SDK

       App開發(fā)者可以使用推送類SDK及時(shí)地向其用戶推送通知或者消息，與用戶保持互動(dòng)，從而有效地提高留存率,提升用戶體驗(yàn)。

       目前，主流的推送類SDK包括：百度云推送、騰訊信鴿推送、極光推送、個(gè)推推送、友盟推送、智游推送、華為推送、小米推送、魔橋推送、盛大云推送等。

       同時(shí)，推送類SDK普遍運(yùn)用于各個(gè)領(lǐng)域的App，包括：資訊閱讀類、社交交友類、金融理財(cái)類、視頻影音類、生活服務(wù)類、電商購(gòu)物類、工作效率類、游戲娛樂類、物聯(lián)網(wǎng)類等。

 

2、廣告類SDK

       據(jù)《中國(guó)互聯(lián)網(wǎng)發(fā)展報(bào)告2018》顯示，2019年網(wǎng)絡(luò)廣告市場(chǎng)規(guī)模將破6000億。

       隨著移動(dòng)廣告紅利時(shí)代的到來(lái)，越來(lái)越多的App開發(fā)者開始使用廣告類SDK，而廣告類SDK對(duì)各類廣告形式的支持情況也成為影響App開發(fā)者收入的關(guān)鍵因素之一。

       目前，國(guó)內(nèi)市場(chǎng)上提供廣告類SDK的企業(yè)有很多家，主流的有多盟、TalkingData、力美、有米、InMobi、友盟、哇棒、安沃、Igexin、airAD、微云、百度廣告等。

       廣告類SDK主要運(yùn)用于電商類、社交類、游戲類、美妝類App。

 

3、數(shù)據(jù)統(tǒng)計(jì)分析類SDK

       數(shù)據(jù)統(tǒng)計(jì)分析類SDK可以幫助App開發(fā)商統(tǒng)計(jì)和分析流量來(lái)源、內(nèi)容使用、用戶屬性和行為數(shù)據(jù)，以便開發(fā)商利用數(shù)據(jù)進(jìn)行產(chǎn)品、運(yùn)營(yíng)、推廣策略的決策。

       因此，越來(lái)越多的App開始使用數(shù)據(jù)統(tǒng)計(jì)分析類SDK。據(jù)騰訊安全反詐騙實(shí)驗(yàn)室發(fā)布《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》報(bào)告指出，數(shù)據(jù)統(tǒng)計(jì)分析類SDK 集成比例最高。

       目前，主流的數(shù)據(jù)統(tǒng)計(jì)分析類SDK包括：友盟、海度云、谷歌Analytics、Appsee、360SDK、貴士移動(dòng)等。

       數(shù)據(jù)統(tǒng)計(jì)分析類SDK主要運(yùn)用于金融類、電商類、教育類、出行類、社交類、新聞資訊類App。

 

（二）第三方SDK應(yīng)用現(xiàn)狀

       考慮時(shí)間、成本等因素，App開發(fā)者使用第三方SDK已成為普遍現(xiàn)象。中國(guó)專業(yè)IT社區(qū)CSDN相關(guān)專業(yè)人士對(duì)15個(gè)類別、1000多款主流App使用第三方SDK的統(tǒng)計(jì)分析結(jié)果顯示，App使用最為廣泛的第三方SDK類型為第三方登錄分享類、推送類、數(shù)據(jù)統(tǒng)計(jì)類SDK，以及一些基礎(chǔ)庫(kù)（例如：GSON、OkHttp、EventBus等）。

       如圖1所示，廣大網(wǎng)友最普遍使用的8類App（實(shí)用工具類、影音視聽類、聊天社交類、時(shí)尚購(gòu)物類、旅行交通類、新聞資訊類、金融理財(cái)類、圖書閱讀類）中，平均使用最多的10個(gè)SDK分別是微信登錄分享、GSON、友盟統(tǒng)計(jì)、QQ登錄分享、微博登錄分享、小米推送、支付寶、OkHttp、org.json等。

       在15個(gè)APP類型中，體育運(yùn)動(dòng)類、醫(yī)療健康類、時(shí)尚購(gòu)物類App平均使用第三方SDK數(shù)量位列前三，分別為30.6、30.5和28.6個(gè)。

圖2 App中使用第三方SDK的數(shù)量分布圖

 

第三方SDK安全問題分析

      由于第三方的SDK開發(fā)側(cè)重于功能性的完善，在安全性方面的投入較少，導(dǎo)致App開發(fā)者使用第三方SDK存在多種安全問題。

 

（一）隱瞞收集用戶個(gè)人信息

       近年來(lái)，涉及第三方SDK隱瞞收集個(gè)人信息的安全事件逐漸增多，例如：今年上半年，中國(guó)某科技企業(yè)被曝光利用SDK隱瞞收集用戶聯(lián)系人信息、QQ登錄信息、位置信息等；Facebook被曝光在未告知用戶的情況下，利用App Events統(tǒng)計(jì)分析工具從11個(gè)應(yīng)用程序中收集用戶敏感信息。

       我院通過對(duì)App嵌入的第三方SDK進(jìn)行檢測(cè)也發(fā)現(xiàn)，有些第三方SDK能夠收集個(gè)人信息標(biāo)識(shí)、行動(dòng)軌跡、個(gè)人偏好、網(wǎng)絡(luò)設(shè)備信息等，并上傳至遠(yuǎn)程服務(wù)器，甚至是境外服務(wù)器。

       同時(shí)，卡巴斯基實(shí)驗(yàn)室研究人員也曾公開表示，目前使用廣告推送SDK的應(yīng)用程序總數(shù)已達(dá)到幾十億，其中大多數(shù)會(huì)以明文方式向服務(wù)器傳輸個(gè)人信息（包括：姓名、年齡、性別、電話號(hào)碼、郵箱地址、位置信息、唯一設(shè)備標(biāo)識(shí)碼等）。

       這些個(gè)人信息在個(gè)人信息控制者、單個(gè)或多個(gè)第三方之間流動(dòng)，增加了個(gè)人信息泄露、濫用的安全風(fēng)險(xiǎn)，同時(shí)降低了個(gè)人信息主體對(duì)其個(gè)人信息的控制能力。

 

（二）SDK借助合法App執(zhí)行惡意操作

       為了謀取經(jīng)濟(jì)利益，部分惡意開發(fā)者滲入到SDK開發(fā)環(huán)節(jié)，以提供第三方服務(wù)的方式吸引App開發(fā)者來(lái)使用他們的SDK。

       這些惡意SDK借助合法應(yīng)用可以有效地躲避一部分應(yīng)用市場(chǎng)和安全廠商的檢測(cè)。惡意開發(fā)者能夠利用后門對(duì)用戶手機(jī)進(jìn)行遠(yuǎn)程靜默安裝應(yīng)用、靜默添加聯(lián)系人、獲取用戶隱私信息等。

       2018年4月，騰訊安全反詐騙實(shí)驗(yàn)室的TRP-AI反病毒引擎捕獲到一個(gè)惡意推送信息的軟件開發(fā)工具包（SDK）——“寄生推”，它通過預(yù)留的“后門”云控開啟惡意功能，私自Root用戶設(shè)備并植入惡意模塊，進(jìn)行惡意廣告行為和應(yīng)用推廣，以實(shí)現(xiàn)牟取灰色收益。300多款知名App遭遇“寄生推”的病毒感染，其中不乏用戶超過千萬(wàn)的巨量級(jí)軟件，潛在影響用戶超2000萬(wàn)。

 

（三）第三方SDK自身安全性令人堪憂

       目前，絕大部分第三方SDK缺乏安全審核環(huán)節(jié)，造成代碼存有未知安全漏洞。

       目前，已經(jīng)發(fā)現(xiàn)的SDK安全漏洞包括HTTP誤用，SSL/TLS不正確配置、敏感權(quán)限濫用、通過日志造成信息泄露等。

       而近兩年，F(xiàn)Fmpeg、SQLite、pdfium、個(gè)信SDK、Chrome內(nèi)核等SDK已經(jīng)被曝光存在安全漏洞，由于這些第三方SDK被廣泛使用到大量App中，漏洞的造成影響范圍非常大。

       例如，2017年12月，國(guó)內(nèi)消息推送廠商友盟SDK被披露存在可越權(quán)調(diào)用未導(dǎo)出組件的漏洞，利用該漏洞便可實(shí)現(xiàn)對(duì)使用了友盟SDK的應(yīng)用進(jìn)行多種惡意攻擊。據(jù)悉，友盟SDK漏洞共影響了七千多款A(yù)pp。

對(duì)策建議

       當(dāng)前，各類APP全天候深度參與廣大用戶生產(chǎn)生活，嵌入其中的SDK也隨之獲得了獲取用戶個(gè)人信息的渠道，掌握的數(shù)據(jù)量龐大，而其作為第三方的角色使得數(shù)據(jù)流向更加多樣化，潛在安全風(fēng)險(xiǎn)不容忽視。

       然而，目前從法規(guī)及監(jiān)管的管轄對(duì)象來(lái)看，多側(cè)重于對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的規(guī)制，并非所有SDK開發(fā)者均在監(jiān)管范圍內(nèi)，在一定程度上部分SDK處在法律和監(jiān)管的真空地帶。

       建議政府部門高度重視，將SDK納入監(jiān)管范圍，從法律和政策層面進(jìn)行規(guī)范和引導(dǎo)。同時(shí)，考慮到SDK應(yīng)用體量大、問題發(fā)現(xiàn)困難和技術(shù)檢測(cè)復(fù)雜的特點(diǎn)，建議充分調(diào)動(dòng)各界力量，形成“政府規(guī)制、社會(huì)監(jiān)督、企業(yè)履責(zé)”監(jiān)督機(jī)制，共同營(yíng)造良好安全生態(tài)。

 

（一）加快推進(jìn)SDK安全系列標(biāo)準(zhǔn)研制

       建議盡快啟動(dòng)SDK安全系列標(biāo)準(zhǔn)研究，圍繞SDK的自身安全性、數(shù)據(jù)安全和個(gè)人信息保護(hù)等方面的問題，加快研制相關(guān)標(biāo)準(zhǔn)規(guī)范、操作指引，指導(dǎo)App開發(fā)者規(guī)范使用第三方SDK，引導(dǎo)SDK開發(fā)者提升SDK自身安全水平，降低App使用第三方SDK的安全風(fēng)險(xiǎn)。

 

（二）加強(qiáng)第三方SDK安全監(jiān)管

       建議政府部門采取全網(wǎng)監(jiān)測(cè)、不定期抽查等方式，對(duì)于媒體曝光、社會(huì)披露、監(jiān)督檢查中發(fā)現(xiàn)存在違法違規(guī)行為或安全隱患的第三方SDK，經(jīng)驗(yàn)證核實(shí)無(wú)誤的，定期向社會(huì)通報(bào)違法違規(guī)第三方SDK名單。

 

（三）開展第三方SDK行業(yè)自律

       建議相關(guān)行業(yè)協(xié)會(huì)或社會(huì)組織可以主動(dòng)發(fā)揮行業(yè)自律平臺(tái)作用，推動(dòng)各利益相關(guān)方共同制定第三方SDK安全準(zhǔn)則、收集使用個(gè)人信息行為準(zhǔn)則等，推廣宣傳相關(guān)最佳實(shí)踐，帶動(dòng)提升第三方SDK整體安全水平。

本文轉(zhuǎn)載自：App個(gè)人信息舉報(bào)公眾號(hào)。