2023-10-30 国家安全部提醒注意的SDK是什么
“国家安全部”微信公号今天消息,近年来,国家安全机关工作发现,境外一些别有用心的组织和人员,正在
通过SDK搜集我用户数据和个人信息
,给我国家安全造成了一定风险隐患。国家安全部提出:要警惕一些境外SDK背后的“数据间谍”窃密。
近期,工业和信息化部组织第三方检测机构 对群众关注的 在线影音、网上购物等移动互联网应用程序APP,以及第三方软件开发工具包(SDK)进行检查。发现
22款APP、SDK存在侵害用户权益行为
。其中包括 由长沙小尹信息科技有限公司开发的视频剪辑助手
、辽宁爱音斯坦FM
、广州天天趣刷
、深圳的快递100
等等。据国内权威机构掌握,截至2022年12月,我国
10万个头部应用中,共检测出2万3000多例样本使用境外SDK
,使用境外SDK应用的境内终端大约有3.8亿台。SDK是什么?
SDK是英文Software Development Kit的缩写,即软件开发工具包。
奇安信隐私安全业务负责人赵帅解释 找一些与已有软件功能相匹配的组件,将它们组装在一起,形成一个完整的软件。
比如开发一个新闻资讯APP,将这个APP放到应用商店后,供人下载使用。开发者想知道有多少人正在使用此APP及其使用时间,就可以在开发时
加入一个数据统计分析的SDK,它会提供一套完整的用户日活、月活分析功能
,这样就加快了软件开发效率。境外SDK的数据窃密有何风险?
赵帅
表示,境外SDK被嵌入APP后,会跟随APP一起运行。如果用户允许APP获取自己的若干权限,比如
设备信息、定位信息、同一个局域网内的设备信息、联系人信息
等,一段时间后,这些数据会在其服务器端积累起来,用户的工作、生活等信息都会被记录下来,这些信息可以用来
推测出机主的住址、职业、年龄等用户画像
。
从信息泄密的风险上来看,
首先,SDK数据获取需要权限,
给APP的权限越多
,它能获取的数据种类和数量就越多,对于特定用户画像描绘得就越准确,从而产生更大的危害性。
其次,每个APP的下载量从几万、几十万到几百万不等,其涉及到的用户规模越大,收集的数据越多,产生的影响也就越大。
数据达到一定规模后
,
可以对更广泛的群体进行特征推测
,甚至可以针对性地涉及一些特定人群的特征,比如国家安全部门或保密单位的人群,这类数据泄密的危害性就更大。
此外,
信息收集持续时间的长短
也是风险因素之一。如果持续数年进行数据采集,就可以更准确地描绘出一个人的活动轨迹、习惯等,从而更准确地预测其行为。
SDK背后的数据风险白熊资讯网如何消除?
赵帅 个人用户 下载APP 从主流应用商店下载
另一方面,
在安//www.czybx.com装APP后,可以通过手机的“设置”对APP进行权限管理
,就像是给APP戴上紧箍咒。要有主动意识去做权限管控:
比如某个应用是新闻资讯类APP,却白熊资讯网申请通讯录权限或摄像头权限等,那就可以选择拒绝。从
平台层面
来说,应用商店在上架APP之前,应当对APP进行技术检测评估;
此外,
企业在开发软件时
,也有一些需注意的地方。对于软件中嵌入的SDK,一般
正规企业内部都会有审查认证流程
。值得注意的是,
新闻里提到的境外开发组织,就会通过利诱方式
让开发者使用它的代码去收集用户个人信息,开发者要意识到这是违法行为,注意规避。来源:
BRTV新//www.czybx.com闻建外14号
内容版权声明:除非注明原创否则皆为转载,再次转载请注明出处。