關注App嵌入第三方SDK收集使用(yòng)個(gè)人(rén)信息安全隐患

      SDK是SoftwareDevelopment Kit的(de)縮寫，即“軟件開發工具包”。簡單來(lái)說，它是輔助開發移動應用(yòng)軟件（APP）的(de)相關文檔、範例和(hé)工具的(de)集合。

      對(duì) App 開發者來(lái)說，爲了(le)提高(gāo)開發效率、降低成本，可(kě)以将某項功能交給第三方來(lái)開發，第三方服務提供商将服務封裝爲工具包（即SDK）供App開發者使用(yòng)。

      現如今，App開發者使用(yòng)第三方SDK已經成爲普遍現象。然而，第三方SDK自身存在的(de)安全漏洞，以及隐瞞收集個(gè)人(rén)信息等問題，使得(de)其安全現狀不容樂(yuè)觀，需要引起各方重視。

App使用(yòng)第三方SDK現狀：

      近年來(lái)，我國智能手機普及率持續攀升。據美(měi)國媒體機構Zenith發布的(de)最新研究報告預測，中國智能手機用(yòng)戶數量将位居全球第一，達到13億。龐大(dà)的(de)智能手機用(yòng)戶群體托起了(le)我國繁榮的(de)移動應用(yòng)軟件（App）市場(chǎng)，以及爲App提供信息推送、廣告分(fēn)發、數據分(fēn)析、地圖導航等功能的(de)第三方SDK服務市場(chǎng)。

 

（一）第三方SDK的(de)主要類型

      目前，最常見、使用(yòng)最多(duō)的(de)SDK類型包括第三方登錄分(fēn)享類、支付類、推送類、廣告類和(hé)數據統計分(fēn)析類。前兩種類型相對(duì)好理(lǐ)解，下(xià)面主要介紹後三種SDK類型的(de)情況：

 

1、推送類SDK

       App開發者可(kě)以使用(yòng)推送類SDK及時(shí)地向其用(yòng)戶推送通(tōng)知或者消息，與用(yòng)戶保持互動，從而有效地提高(gāo)留存率,提升用(yòng)戶體驗。

       目前，主流的(de)推送類SDK包括：百度雲推送、騰訊信鴿推送、極光(guāng)推送、個(gè)推推送、友盟推送、智遊推送、華爲推送、小米推送、魔橋推送、盛大(dà)雲推送等。

       同時(shí)，推送類SDK普遍運用(yòng)于各個(gè)領域的(de)App，包括：資訊閱讀類、社交交友類、金融理(lǐ)财類、視頻(pín)影(yǐng)音(yīn)類、生活服務類、電商購(gòu)物(wù)類、工作效率類、遊戲娛樂(yuè)類、物(wù)聯網類等。

 

2、廣告類SDK

       據《中國互聯網發展報告2018》顯示，2019年網絡廣告市場(chǎng)規模将破6000億。

       随著(zhe)移動廣告紅利時(shí)代的(de)到來(lái)，越來(lái)越多(duō)的(de)App開發者開始使用(yòng)廣告類SDK，而廣告類SDK對(duì)各類廣告形式的(de)支持情況也(yě)成爲影(yǐng)響App開發者收入的(de)關鍵因素之一。

       目前，國内市場(chǎng)上提供廣告類SDK的(de)企業有很多(duō)家，主流的(de)有多(duō)盟、TalkingData、力美(měi)、有米、InMobi、友盟、哇棒、安沃、Igexin、airAD、微雲、百度廣告等。

       廣告類SDK主要運用(yòng)于電商類、社交類、遊戲類、美(měi)妝類App。

 

3、數據統計分(fēn)析類SDK

       數據統計分(fēn)析類SDK可(kě)以幫助App開發商統計和(hé)分(fēn)析流量來(lái)源、内容使用(yòng)、用(yòng)戶屬性和(hé)行爲數據，以便開發商利用(yòng)數據進行産品、運營、推廣策略的(de)決策。

       因此，越來(lái)越多(duō)的(de)App開始使用(yòng)數據統計分(fēn)析類SDK。據騰訊安全反詐騙實驗室發布《網絡安全新常态下(xià)Android應用(yòng)供應鏈安全探秘》報告指出，數據統計分(fēn)析類SDK 集成比例最高(gāo)。

       目前，主流的(de)數據統計分(fēn)析類SDK包括：友盟、海度雲、谷歌(gē)Analytics、Appsee、360SDK、貴士移動等。

       數據統計分(fēn)析類SDK主要運用(yòng)于金融類、電商類、教育類、出行類、社交類、新聞資訊類App。

 

（二）第三方SDK應用(yòng)現狀

       考慮時(shí)間、成本等因素，App開發者使用(yòng)第三方SDK已成爲普遍現象。中國專業IT社區(qū)CSDN相關專業人(rén)士對(duì)15個(gè)類别、1000多(duō)款主流App使用(yòng)第三方SDK的(de)統計分(fēn)析結果顯示，App使用(yòng)最爲廣泛的(de)第三方SDK類型爲第三方登錄分(fēn)享類、推送類、數據統計類SDK，以及一些基礎庫（例如：GSON、OkHttp、EventBus等）。

       如圖1所示，廣大(dà)網友最普遍使用(yòng)的(de)8類App（實用(yòng)工具類、影(yǐng)音(yīn)視聽(tīng)類、聊天社交類、時(shí)尚購(gòu)物(wù)類、旅行交通(tōng)類、新聞資訊類、金融理(lǐ)财類、圖書(shū)閱讀類）中，平均使用(yòng)最多(duō)的(de)10個(gè)SDK分(fēn)别是微信登錄分(fēn)享、GSON、友盟統計、QQ登錄分(fēn)享、微博登錄分(fēn)享、小米推送、支付寶、OkHttp、org.json等。

       在15個(gè)APP類型中，體育運動類、醫療健康類、時(shí)尚購(gòu)物(wù)類App平均使用(yòng)第三方SDK數量位列前三，分(fēn)别爲30.6、30.5和(hé)28.6個(gè)。

圖2 App中使用(yòng)第三方SDK的(de)數量分(fēn)布圖

 

第三方SDK安全問題分(fēn)析

      由于第三方的(de)SDK開發側重于功能性的(de)完善，在安全性方面的(de)投入較少，導緻App開發者使用(yòng)第三方SDK存在多(duō)種安全問題。

 

（一）隐瞞收集用(yòng)戶個(gè)人(rén)信息

       近年來(lái)，涉及第三方SDK隐瞞收集個(gè)人(rén)信息的(de)安全事件逐漸增多(duō)，例如：今年上半年，中國某科技企業被曝光(guāng)利用(yòng)SDK隐瞞收集用(yòng)戶聯系人(rén)信息、QQ登錄信息、位置信息等；Facebook被曝光(guāng)在未告知用(yòng)戶的(de)情況下(xià)，利用(yòng)App Events統計分(fēn)析工具從11個(gè)應用(yòng)程序中收集用(yòng)戶敏感信息。

       我院通(tōng)過對(duì)App嵌入的(de)第三方SDK進行檢測也(yě)發現，有些第三方SDK能夠收集個(gè)人(rén)信息标識、行動軌迹、個(gè)人(rén)偏好、網絡設備信息等，并上傳至遠(yuǎn)程服務器，甚至是境外服務器。

       同時(shí)，卡巴斯基實驗室研究人(rén)員(yuán)也(yě)曾公開表示，目前使用(yòng)廣告推送SDK的(de)應用(yòng)程序總數已達到幾十億，其中大(dà)多(duō)數會以明(míng)文方式向服務器傳輸個(gè)人(rén)信息（包括：姓名、年齡、性别、電話(huà)号碼、郵箱地址、位置信息、唯一設備标識碼等）。

       這(zhè)些個(gè)人(rén)信息在個(gè)人(rén)信息控制者、單個(gè)或多(duō)個(gè)第三方之間流動，增加了(le)個(gè)人(rén)信息洩露、濫用(yòng)的(de)安全風險，同時(shí)降低了(le)個(gè)人(rén)信息主體對(duì)其個(gè)人(rén)信息的(de)控制能力。

 

（二）SDK借助合法App執行惡意操作

       爲了(le)謀取經濟利益，部分(fēn)惡意開發者滲入到SDK開發環節，以提供第三方服務的(de)方式吸引App開發者來(lái)使用(yòng)他(tā)們的(de)SDK。

       這(zhè)些惡意SDK借助合法應用(yòng)可(kě)以有效地躲避一部分(fēn)應用(yòng)市場(chǎng)和(hé)安全廠商的(de)檢測。惡意開發者能夠利用(yòng)後門對(duì)用(yòng)戶手機進行遠(yuǎn)程靜默安裝應用(yòng)、靜默添加聯系人(rén)、獲取用(yòng)戶隐私信息等。

       2018年4月(yuè)，騰訊安全反詐騙實驗室的(de)TRP-AI反病毒引擎捕獲到一個(gè)惡意推送信息的(de)軟件開發工具包（SDK）——“寄生推”，它通(tōng)過預留的(de)“後門”雲控開啓惡意功能，私自Root用(yòng)戶設備并植入惡意模塊，進行惡意廣告行爲和(hé)應用(yòng)推廣，以實現牟取灰色收益。300多(duō)款知名App遭遇“寄生推”的(de)病毒感染，其中不乏用(yòng)戶超過千萬的(de)巨量級軟件，潛在影(yǐng)響用(yòng)戶超2000萬。

 

（三）第三方SDK自身安全性令人(rén)堪憂

       目前，絕大(dà)部分(fēn)第三方SDK缺乏安全審核環節，造成代碼存有未知安全漏洞。

       目前，已經發現的(de)SDK安全漏洞包括HTTP誤用(yòng)，SSL/TLS不正确配置、敏感權限濫用(yòng)、通(tōng)過日志造成信息洩露等。

       而近兩年，FFmpeg、SQLite、pdfium、個(gè)信SDK、Chrome内核等SDK已經被曝光(guāng)存在安全漏洞，由于這(zhè)些第三方SDK被廣泛使用(yòng)到大(dà)量App中，漏洞的(de)造成影(yǐng)響範圍非常大(dà)。

       例如，2017年12月(yuè)，國内消息推送廠商友盟SDK被披露存在可(kě)越權調用(yòng)未導出組件的(de)漏洞，利用(yòng)該漏洞便可(kě)實現對(duì)使用(yòng)了(le)友盟SDK的(de)應用(yòng)進行多(duō)種惡意攻擊。據悉，友盟SDK漏洞共影(yǐng)響了(le)七千多(duō)款App。

對(duì)策建議(yì)

       當前，各類APP全天候深度參與廣大(dà)用(yòng)戶生産生活，嵌入其中的(de)SDK也(yě)随之獲得(de)了(le)獲取用(yòng)戶個(gè)人(rén)信息的(de)渠道，掌握的(de)數據量龐大(dà)，而其作爲第三方的(de)角色使得(de)數據流向更加多(duō)樣化(huà)，潛在安全風險不容忽視。

       然而，目前從法規及監管的(de)管轄對(duì)象來(lái)看，多(duō)側重于對(duì)網絡運營者的(de)規制，并非所有SDK開發者均在監管範圍内，在一定程度上部分(fēn)SDK處在法律和(hé)監管的(de)真空地帶。

       建議(yì)政府部門高(gāo)度重視，将SDK納入監管範圍，從法律和(hé)政策層面進行規範和(hé)引導。同時(shí)，考慮到SDK應用(yòng)體量大(dà)、問題發現困難和(hé)技術檢測複雜(zá)的(de)特點，建議(yì)充分(fēn)調動各界力量，形成“政府規制、社會監督、企業履責”監督機制，共同營造良好安全生态。

 

（一）加快(kuài)推進SDK安全系列标準研制

       建議(yì)盡快(kuài)啓動SDK安全系列标準研究，圍繞SDK的(de)自身安全性、數據安全和(hé)個(gè)人(rén)信息保護等方面的(de)問題，加快(kuài)研制相關标準規範、操作指引，指導App開發者規範使用(yòng)第三方SDK，引導SDK開發者提升SDK自身安全水(shuǐ)平，降低App使用(yòng)第三方SDK的(de)安全風險。

 

（二）加強第三方SDK安全監管

       建議(yì)政府部門采取全網監測、不定期抽查等方式，對(duì)于媒體曝光(guāng)、社會披露、監督檢查中發現存在違法違規行爲或安全隐患的(de)第三方SDK，經驗證核實無誤的(de)，定期向社會通(tōng)報違法違規第三方SDK名單。

 

（三）開展第三方SDK行業自律

       建議(yì)相關行業協會或社會組織可(kě)以主動發揮行業自律平台作用(yòng)，推動各利益相關方共同制定第三方SDK安全準則、收集使用(yòng)個(gè)人(rén)信息行爲準則等，推廣宣傳相關最佳實踐，帶動提升第三方SDK整體安全水(shuǐ)平。

本文轉載自：App個(gè)人(rén)信息舉報公衆号。