|
国家安全部提示,SDK(软件开发工具包)是一套为特定软件框架、硬件平台或操作系统提供的开发工具集合,它就像一个“百宝箱”,贴心地为软件开发者提供构建应用程序所需要的半成品、工具和说明,极大地提升了工作效率。然而,便利的SDK,也可能潜藏失泄密风险。境外组织可能通过将恶意SDK嵌入到各类应用软件中,非法收集敏感信息,并远程传输至境外服务器。这种行为不仅严重侵犯公民个人隐私,更可能导致用户画像、行业数据等关键信息被境外掌控,进而对我国家安全构成现实威胁。
SDK的潜在威胁
——来路难寻的隐蔽“后门”。境外黑客组织或敌对势力可能利用第三方SDK的安全漏洞或恶意代码进行攻击,更有甚者会直接利用SDK开发预置后门,或利用未公开的漏洞,对使用该SDK开发的应用程序进行深度渗透。用户一旦安装了此类应用,攻击者便可远程操控其设备,窃取更多重要敏感信息。
——侵犯权限的私自搜掠。有关单位通报显示,部分SDK存在违规收集使用个人信息行为,这些信息可能被用于精准用户画像与分析,进而推断出更多深层信息。个别境外SDK服务商甚至通过付费方式诱使开发者使用其服务,形成隐蔽的数据获取链条,从中牟取非法利益。
——积羽沉舟的内生隐患。随着使用第三方SDK开发的应用软件数量增加,其潜在攻击面呈几何级扩大,安全风险进一步提升。如某个通用SDK存在漏洞时,所有集成该组件的应用都将面临连锁式安全威胁,最终扩散至整个移动生态,构成系统性风险。
堵住SDK“木马”窃密通道
——个人用户。广大个人用户应从官方应用商店等正规渠道下载安装应用,切勿点击来历不明的广告链接或随意安装弹窗推送的软件。安装后,应审慎管理应用权限,尽量关闭与应用核心服务无关的访问权限,特别是涉及位置、通讯录、相册等敏感信息或资费功能,避免因权限过度开放导致个人信息泄露与财产损失。
——应用程序开发企业。应建立SDK全生命周期安全管理机制,优先选用备案SDK,严格评估功能独立性,避免无关模块捆绑,在使用过程中应持续监测、定期更新、及时修补漏洞。对集成的SDK进行来源确认和完整性校验,并持续监测SDK是否有异常行为。
——App平台供应商。应向大众准确告知SDK接入情况、权限范围、隐私政策等情况。运营期内,应主动提示运营者及时改进不符合要求的行为。合作结束后,供应商应督促本应用软件的SDK运营者退出授权,依法删除或匿名化处理用户数据。
国家安全机关提示
