SDK是SoftwareDevelopment Kit的縮寫，即“軟件開發(fā)工具包”。簡單來說，它是輔助開發(fā)移動應(yīng)用軟件（APP）的相關(guān)文檔、范例和工具的集合。

      對 App 開發(fā)者來說，為了提高開發(fā)效率、降低成本，可以將某項功能交給第三方來開發(fā)，第三方服務(wù)提供商將服務(wù)封裝為工具包（即SDK）供App開發(fā)者使用。

      現(xiàn)如今，App開發(fā)者使用第三方SDK已經(jīng)成為普遍現(xiàn)象。然而，第三方SDK自身存在的安全漏洞，以及隱瞞收集個人信息等問題，使得其安全現(xiàn)狀不容樂觀，需要引起各方重視。

App使用第三方SDK現(xiàn)狀：

      近年來，我國智能手機(jī)普及率持續(xù)攀升。據(jù)美國媒體機(jī)構(gòu)Zenith發(fā)布的最新研究報告預(yù)測，中國智能手機(jī)用戶數(shù)量將位居全球第一，達(dá)到13億。龐大的智能手機(jī)用戶群體托起了我國繁榮的移動應(yīng)用軟件（App）市場，以及為App提供信息推送、廣告分發(fā)、數(shù)據(jù)分析、地圖導(dǎo)航等功能的第三方SDK服務(wù)市場。

 

（一）第三方SDK的主要類型

      目前，最常見、使用最多的SDK類型包括第三方登錄分享類、支付類、推送類、廣告類和數(shù)據(jù)統(tǒng)計分析類。前兩種類型相對好理解，下面主要介紹后三種SDK類型的情況：

 

1、推送類SDK

       App開發(fā)者可以使用推送類SDK及時地向其用戶推送通知或者消息，與用戶保持互動，從而有效地提高留存率,提升用戶體驗(yàn)。

       目前，主流的推送類SDK包括：百度云推送、騰訊信鴿推送、極光推送、個推推送、友盟推送、智游推送、華為推送、小米推送、魔橋推送、盛大云推送等。

       同時，推送類SDK普遍運(yùn)用于各個領(lǐng)域的App，包括：資訊閱讀類、社交交友類、金融理財類、視頻影音類、生活服務(wù)類、電商購物類、工作效率類、游戲娛樂類、物聯(lián)網(wǎng)類等。

 

2、廣告類SDK

       據(jù)《中國互聯(lián)網(wǎng)發(fā)展報告2018》顯示，2019年網(wǎng)絡(luò)廣告市場規(guī)模將破6000億。

       隨著移動廣告紅利時代的到來，越來越多的App開發(fā)者開始使用廣告類SDK，而廣告類SDK對各類廣告形式的支持情況也成為影響App開發(fā)者收入的關(guān)鍵因素之一。

       目前，國內(nèi)市場上提供廣告類SDK的企業(yè)有很多家，主流的有多盟、TalkingData、力美、有米、InMobi、友盟、哇棒、安沃、Igexin、airAD、微云、百度廣告等。

       廣告類SDK主要運(yùn)用于電商類、社交類、游戲類、美妝類App。

 

3、數(shù)據(jù)統(tǒng)計分析類SDK

       數(shù)據(jù)統(tǒng)計分析類SDK可以幫助App開發(fā)商統(tǒng)計和分析流量來源、內(nèi)容使用、用戶屬性和行為數(shù)據(jù)，以便開發(fā)商利用數(shù)據(jù)進(jìn)行產(chǎn)品、運(yùn)營、推廣策略的決策。

       因此，越來越多的App開始使用數(shù)據(jù)統(tǒng)計分析類SDK。據(jù)騰訊安全反詐騙實(shí)驗(yàn)室發(fā)布《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》報告指出，數(shù)據(jù)統(tǒng)計分析類SDK 集成比例最高。

       目前，主流的數(shù)據(jù)統(tǒng)計分析類SDK包括：友盟、海度云、谷歌Analytics、Appsee、360SDK、貴士移動等。

       數(shù)據(jù)統(tǒng)計分析類SDK主要運(yùn)用于金融類、電商類、教育類、出行類、社交類、新聞資訊類App。

 

（二）第三方SDK應(yīng)用現(xiàn)狀

       考慮時間、成本等因素，App開發(fā)者使用第三方SDK已成為普遍現(xiàn)象。中國專業(yè)IT社區(qū)CSDN相關(guān)專業(yè)人士對15個類別、1000多款主流App使用第三方SDK的統(tǒng)計分析結(jié)果顯示，App使用最為廣泛的第三方SDK類型為第三方登錄分享類、推送類、數(shù)據(jù)統(tǒng)計類SDK，以及一些基礎(chǔ)庫（例如：GSON、OkHttp、EventBus等）。

       如圖1所示，廣大網(wǎng)友最普遍使用的8類App（實(shí)用工具類、影音視聽類、聊天社交類、時尚購物類、旅行交通類、新聞資訊類、金融理財類、圖書閱讀類）中，平均使用最多的10個SDK分別是微信登錄分享、GSON、友盟統(tǒng)計、QQ登錄分享、微博登錄分享、小米推送、支付寶、OkHttp、org.json等。

       在15個APP類型中，體育運(yùn)動類、醫(yī)療健康類、時尚購物類App平均使用第三方SDK數(shù)量位列前三，分別為30.6、30.5和28.6個。

圖2 App中使用第三方SDK的數(shù)量分布圖

 

第三方SDK安全問題分析

      由于第三方的SDK開發(fā)側(cè)重于功能性的完善，在安全性方面的投入較少，導(dǎo)致App開發(fā)者使用第三方SDK存在多種安全問題。

 

（一）隱瞞收集用戶個人信息

       近年來，涉及第三方SDK隱瞞收集個人信息的安全事件逐漸增多，例如：今年上半年，中國某科技企業(yè)被曝光利用SDK隱瞞收集用戶聯(lián)系人信息、QQ登錄信息、位置信息等；Facebook被曝光在未告知用戶的情況下，利用App Events統(tǒng)計分析工具從11個應(yīng)用程序中收集用戶敏感信息。

       我院通過對App嵌入的第三方SDK進(jìn)行檢測也發(fā)現(xiàn)，有些第三方SDK能夠收集個人信息標(biāo)識、行動軌跡、個人偏好、網(wǎng)絡(luò)設(shè)備信息等，并上傳至遠(yuǎn)程服務(wù)器，甚至是境外服務(wù)器。

       同時，卡巴斯基實(shí)驗(yàn)室研究人員也曾公開表示，目前使用廣告推送SDK的應(yīng)用程序總數(shù)已達(dá)到幾十億，其中大多數(shù)會以明文方式向服務(wù)器傳輸個人信息（包括：姓名、年齡、性別、電話號碼、郵箱地址、位置信息、唯一設(shè)備標(biāo)識碼等）。

       這些個人信息在個人信息控制者、單個或多個第三方之間流動，增加了個人信息泄露、濫用的安全風(fēng)險，同時降低了個人信息主體對其個人信息的控制能力。

 

（二）SDK借助合法App執(zhí)行惡意操作

       為了謀取經(jīng)濟(jì)利益，部分惡意開發(fā)者滲入到SDK開發(fā)環(huán)節(jié)，以提供第三方服務(wù)的方式吸引App開發(fā)者來使用他們的SDK。

       這些惡意SDK借助合法應(yīng)用可以有效地躲避一部分應(yīng)用市場和安全廠商的檢測。惡意開發(fā)者能夠利用后門對用戶手機(jī)進(jìn)行遠(yuǎn)程靜默安裝應(yīng)用、靜默添加聯(lián)系人、獲取用戶隱私信息等。

       2018年4月，騰訊安全反詐騙實(shí)驗(yàn)室的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發(fā)工具包（SDK）——“寄生推”，它通過預(yù)留的“后門”云控開啟惡意功能，私自Root用戶設(shè)備并植入惡意模塊，進(jìn)行惡意廣告行為和應(yīng)用推廣，以實(shí)現(xiàn)牟取灰色收益。300多款知名App遭遇“寄生推”的病毒感染，其中不乏用戶超過千萬的巨量級軟件，潛在影響用戶超2000萬。

 

（三）第三方SDK自身安全性令人堪憂

       目前，絕大部分第三方SDK缺乏安全審核環(huán)節(jié)，造成代碼存有未知安全漏洞。

       目前，已經(jīng)發(fā)現(xiàn)的SDK安全漏洞包括HTTP誤用，SSL/TLS不正確配置、敏感權(quán)限濫用、通過日志造成信息泄露等。

       而近兩年，F(xiàn)Fmpeg、SQLite、pdfium、個信SDK、Chrome內(nèi)核等SDK已經(jīng)被曝光存在安全漏洞，由于這些第三方SDK被廣泛使用到大量App中，漏洞的造成影響范圍非常大。

       例如，2017年12月，國內(nèi)消息推送廠商友盟SDK被披露存在可越權(quán)調(diào)用未導(dǎo)出組件的漏洞，利用該漏洞便可實(shí)現(xiàn)對使用了友盟SDK的應(yīng)用進(jìn)行多種惡意攻擊。據(jù)悉，友盟SDK漏洞共影響了七千多款A(yù)pp。

對策建議

       當(dāng)前，各類APP全天候深度參與廣大用戶生產(chǎn)生活，嵌入其中的SDK也隨之獲得了獲取用戶個人信息的渠道，掌握的數(shù)據(jù)量龐大，而其作為第三方的角色使得數(shù)據(jù)流向更加多樣化，潛在安全風(fēng)險不容忽視。

       然而，目前從法規(guī)及監(jiān)管的管轄對象來看，多側(cè)重于對網(wǎng)絡(luò)運(yùn)營者的規(guī)制，并非所有SDK開發(fā)者均在監(jiān)管范圍內(nèi)，在一定程度上部分SDK處在法律和監(jiān)管的真空地帶。

       建議政府部門高度重視，將SDK納入監(jiān)管范圍，從法律和政策層面進(jìn)行規(guī)范和引導(dǎo)。同時，考慮到SDK應(yīng)用體量大、問題發(fā)現(xiàn)困難和技術(shù)檢測復(fù)雜的特點(diǎn)，建議充分調(diào)動各界力量，形成“政府規(guī)制、社會監(jiān)督、企業(yè)履責(zé)”監(jiān)督機(jī)制，共同營造良好安全生態(tài)。

 

（一）加快推進(jìn)SDK安全系列標(biāo)準(zhǔn)研制

       建議盡快啟動SDK安全系列標(biāo)準(zhǔn)研究，圍繞SDK的自身安全性、數(shù)據(jù)安全和個人信息保護(hù)等方面的問題，加快研制相關(guān)標(biāo)準(zhǔn)規(guī)范、操作指引，指導(dǎo)App開發(fā)者規(guī)范使用第三方SDK，引導(dǎo)SDK開發(fā)者提升SDK自身安全水平，降低App使用第三方SDK的安全風(fēng)險。

 

（二）加強(qiáng)第三方SDK安全監(jiān)管

       建議政府部門采取全網(wǎng)監(jiān)測、不定期抽查等方式，對于媒體曝光、社會披露、監(jiān)督檢查中發(fā)現(xiàn)存在違法違規(guī)行為或安全隱患的第三方SDK，經(jīng)驗(yàn)證核實(shí)無誤的，定期向社會通報違法違規(guī)第三方SDK名單。

 

（三）開展第三方SDK行業(yè)自律

       建議相關(guān)行業(yè)協(xié)會或社會組織可以主動發(fā)揮行業(yè)自律平臺作用，推動各利益相關(guān)方共同制定第三方SDK安全準(zhǔn)則、收集使用個人信息行為準(zhǔn)則等，推廣宣傳相關(guān)最佳實(shí)踐，帶動提升第三方SDK整體安全水平。

本文轉(zhuǎn)載自：App個人信息舉報公眾號。