您當前的(de)位置:深圳APP開(kāi)發 > 新聞資訊 > APP開(kāi)發資訊 >

人(rén)
已閱讀(dú)

關注App嵌入第三方SDK收集使用(yòng)個(gè)人(rén)≤ ¥"信息安全隐患

來(lái)源：lexintech.com 發布時(shí)©✘間(jiān)：2019-07-12

SDK是(shì)Softδ→wareDevelopment Kit的(de)縮寫≈¶，即“軟件(jiàn)開(kāi)發工(✔★>gōng)具包”。簡單來(lái)¥說(shuō)，它是(shì)輔助開(kāi)發移動應用(yòng)&€₹‌軟件(jiàn)（APP）的(de)相(xi &‌ àng)關文(wén)檔、範例和(hé)工(λ•×→gōng)具的(de)集合。

∞λ; 對(duì) App 開(kāi)發者來(lái)說(shuō)≥€®，為(wèi)了(le)提高(gāo)開(kāi)發效率、降低(§✔dī)成本，可(kě)以将某項功能(néng÷ ✔)交給第三方來(lái)開(kāi)發，第三方服務提供商将服務封裝為(★→✘wèi)工(gōng)具包（即SDK）供Ap ♣p開(kāi)發者使用(yòng)。

現(xiàn)如(rβ←ú)今，App開(kāi)發者使用(yòng)第三方SDK已經 >¶成為(wèi)普遍現(xiàn)象。然而，♦Ω第三方SDK自(zì)身(shēn)存在的(de)安全漏洞，以及隐瞞收集個(g™&è)人(rén)信息等問(wèn)題，使得(de)其安全現(xiàn)狀不©↑€(bù)容樂(yuè)觀，需要(yào)引起各方重視(shì)↔ 。

App使用(yòng)第三方SDK現(xiàn)狀：×≠≈

近(jìnβ<✔)年(nián)來(lái)，我國(guó)智能(néng)手×Ω×機(jī)普及率持續攀升。據美(měi)國(guó∑λ)媒體(tǐ)機(jī)構Zenith發布的(de)最新研究→ε®±報(bào)告預測，中國(guó)智能(néng)手機(jī)用(yò≥‍≤₽ng)戶數(shù)量将位居全球第一(yī)，達到(dào)13億。龐大(d←Ωà)的(de)智能(néng)手機(jī)用(yòng)戶群體(∏π←≈tǐ)托起了(le)我國(guó)繁榮的(de) ₽‍♣移動應用(yòng)軟件(jiàn)（App）市<₽(shì)場(chǎng)，以及為(wèi)App提供信息推送、廣告β✘ε↑分(fēn)發、數(shù)據分(fēn)析、地(dα≥ì)圖導航等功能(néng)的(de)第三方SDK服務市(shì)場(c≈÷↓hǎng)。

（一(yī)）第三方SDK的(de)主∑∑ε•要(yào)類型

目前，最常見(jiàn≥α¶)、使用(yòng)最多(duō)的(de)SDK類型包括第三方登錄分(¥ ®fēn)享類、支付類、推送類、廣告類和(hé)數(shù)據統計(←αjì)分(fēn)析類。前兩種類型相(xi₩≥©"àng)對(duì)好(hǎo)理(lǐ)解，下(xià)面主要(÷λδ<yào)介紹後三種SDK類型的(de)情況：₹×

1、推送類SDK

App開(k §®→āi)發者可(kě)以使用(yòng)推送類SDK及時(shí)地(dì)向☆÷ ₩其用(yòng)戶推送通(tōng)知(zhī)或者消息，與用(yòn↔¶☆g)戶保持互動，從(cóng)而有(yǒu)效地(dì)提高(gāo)留<↕存率,提升用(yòng)戶體(tǐ)驗。

&nbs¶γ♣§p;目前，主流的(de)推送類SDK包括：百度雲推送、騰訊信鴿推送、♣λ極光(guāng)推送、個(gè)推推送、友(yǒu)盟推送、智遊推★≈♠送、華為(wèi)推送、小(xiǎo)米推送、魔橋推送、盛大(dà)雲推送↑ ™ 等。

™¥ 同時(shí)，推送類SDK普遍運用(yòng)于各個(gè)∑領域的(de)App，包括：資訊閱讀(dú)類、社交交友(yǒu)類、金∏¥(jīn)融理(lǐ)财類、視(shì)頻(pín)£↔ε¶影(yǐng)音(yīn)類、生(shēng)活服務類、電(d₩™"iàn)商購(gòu)物(wù)類、工(gōng)↔♦♠₽作(zuò)效率類、遊戲娛樂(yuè)類、物(wù)聯網♦™‌類等。

2、廣告類SDK

據《中國(gu"₩≤×ó)互聯網發展報(bào)告2018》顯示，2019年(∑•♣≈nián)網絡廣告市(shì)場(chǎn>∑α g)規模将破6000億。

随著(zhe)移動廣告←‍$→紅(hóng)利時(shí)代的(de)到(dào)來(lái)，越來(lπ← ái)越多(duō)的(de)App開(↓Ω♥₹kāi)發者開(kāi)始使用(yòng)廣告類SDK，而✘↔廣告類SDK對(duì)各類廣告形式的(de)支持情況也(yě) ≠<成為(wèi)影(yǐng)響App開(kāi)發者收入≥±的(de)關鍵因素之一(yī)。

®ε目前，國(guó)內(nèi)市(shì)場(chǎng)上(shàng)提供≈δ廣告類SDK的(de)企業(yè)有(yǒu)很(hěn)多(duō)>↑¶€家(jiā)，主流的(de)有(yǒu)多(dΩ uō)盟、TalkingData、力美(měi)、有(yǒu)米、InMo©∏$bi、友(yǒu)盟、哇棒、安沃、Igexin、a€₩λirAD、微(wēi)雲、百度廣告等。

&✘£•nbsp;廣告類SDK主要(yào)運用(yòng)于電(diàn)商ε✔✘π類、社交類、遊戲類、美(měi)妝類App。

3、數(shù)據統計(jì)分(fēn)析類SDK↑♣

€♥∑";數(shù)據統計(jì)分(fēn)析類SDK可(kě)以幫€φλσ助App開(kāi)發商統計(jì)和(hé)分(fēnεα÷)析流量來(lái)源、內(nèi)容使用(yòng)、用(y¶‍òng)戶屬性和(hé)行(xíng)為(wèi)數(shù)據，以便開(kā ‍♦i)發商利用(yòng)數(shù)據進行(xíng)ε¥産品、運營、推廣策略的(de)決策。

₩♣∞ 因此，越來(lái)越多(duō)的(de)→≠App開(kāi)始使用(yòng)數(shù)Ω♣™據統計(jì)分(fēn)析類SDK。據騰訊安全反詐騙實驗室發布《網絡安全新常<•态下(xià)Android應用(yòng)供應鏈©≠↕₩安全探秘》報(bào)告指出，數(shù)據統計(j↕∏ì)分(fēn)析類SDK 集成比例最高(gāo)。

目前，♦→↕¶主流的(de)數(shù)據統計(jì) §分(fēn)析類SDK包括：友(yǒu)盟、海(hǎi)度雲、谷歌(gē)A☆↓®nalytics、Appsee、360SDK、貴士移動等。

≤© 數(shù)據統計(jì)分"×&(fēn)析類SDK主要(yào)運用(yòn∑ ¥↑g)于金(jīn)融類、電(diàn)商↔→✔€類、教育類、出行(xíng)類、社交類、新聞資訊類App×←λ♠。

（二）第三方SDK應用(yòng)現(xiàn)狀

考慮時‍γ(shí)間(jiān)、成本等因素，A'←≈pp開(kāi)發者使用(yòng)第三方SDK已成為•↕♥$(wèi)普遍現(xiàn)象。中國(gu★≈★✔ó)專業(yè)IT社區(qū)CSDN相(xi àng)關專業(yè)人(rén)士對(duì)15個(gè)類别"≈‍、1000多(duō)款主流App使用(yòng)第三方SDK的(←∑→↔de)統計(jì)分(fēn)析結果顯示，App使¥‍♥用(yòng)最為(wèi)廣泛的(de)第三 ♠方SDK類型為(wèi)第三方登錄分(fēn)σ™≈λ享類、推送類、數(shù)據統計(jì)♠∑$類SDK，以及一(yī)些(xiē)基礎庫（例如(rú)：GSON、OkHtt≠¥p、EventBus等）。
廣大(dà)網友(yǒu)最普遍使用(yòng)的(de)8類App

γ; 如(rú)圖1所示，廣大®¥↓(dà)網友(yǒu)最普遍使用(yòng)的(de)8類App（實用(∞ ☆yòng)工(gōng)具類、影(yǐng)音(yīn)視(shì)π‌聽(tīng)類、聊天社交類、時(shí)β♠♦≠尚購(gòu)物(wù)類、旅行(xíng)交通(tōng)類、↔&新聞資訊類、金(jīn)融理(lǐ)财類、圖書(sh &♦÷ū)閱讀(dú)類）中，平均使用(yòng)最多(duō)的(de)10個(g♣≈è)SDK分(fēn)别是(shì)微(wēi)信登錄分(fēn)享、GSO↑÷≠N、友(yǒu)盟統計(jì)、QQ登錄分(fēn)享、微(wēi≠±)博登錄分(fēn)享、小(xiǎo)米 γ₩推送、支付寶、OkHttp、org.json等。

®γ 在15個(gè)APP類型中，體★®>♥(tǐ)育運動類、醫(yī)療健康類、時(shí)尚購(gòu∑δ♣)物(wù)類App平均使用(yòng)第三方SDK數(shù)‌£量位列前三，分(fēn)别為(wèi)30.6、30.5和(×hé)28.6個(gè)。

圖2 App中使用(yòng)第三方SDK的Ω↔(de)數(shù)量分(fēn)布圖

第三方SDK安全問(wèn)題分(fēn)析

由于第三方的(d∞£★e)SDK開(kāi)發側重于功能(néng)性的(de)完善，在安全性方面₹ 的(de)投入較少(shǎo)，導緻App開(kāi)發者使用(y₽≤®òng)第三方SDK存在多(duō)種安全問(wèn)題。

（一(yī)）隐瞞收集用(yòng)戶個(gè)人(rén)信息 ™

近(jìn)年(ni✘ Ωán)來(lái)，涉及第三方SDK隐瞞收集個(gè)人(rén∞♥✔ )信息的(de)安全事(shì)件(jiàn)逐漸增多(duō)，例如(rú)≈"Ω<：今年(nián)上(shàng)半年(nián)，中α✘國(guó)某科(kē)技(jì)企業(yè)被曝光(guāng)利用(yòσβng)SDK隐瞞收集用(yòng)戶聯系人(rén)信息、QQ登錄信息、 £ •位置信息等；Facebook被曝光(guāng)在未告知(zhī♠∑§β)用(yòng)戶的(de)情況下(xià)，利用(y‌§↔òng)App Events統計(jì)分(fēn)析工×∑×(gōng)具從(cóng)11個(gè♠✘)應用(yòng)程序中收集用(yòng)戶敏感信≤ ♦ 息。

我↔∏院通(tōng)過對(duì)App嵌入的(d↕→><e)第三方SDK進行(xíng)檢測也(yě)發現(xiàn)，有(yǒu)§↔✘δ些(xiē)第三方SDK能(néng)夠收集個(gè)人(ré≈εn)信息标識、行(xíng)動軌迹、個(gè)人(ré₹♠n)偏好(hǎo)、網絡設備信息等，并上(sh€★→àng)傳至遠(yuǎn)程服務器(qì)，甚至是(sh∑★↓✘ì)境外(wài)服務器(qì)。

同時(s≠↓↔hí)，卡巴斯基實驗室研究人(rén)員(yuán)也(yě)曾公開(k₽'®āi)表示，目前使用(yòng)廣告推送SDK的(de)應用(yòng)₩ 程序總數(shù)已達到(dào)幾十億，其中大(dà)多(duō)數(shù≈÷)會(huì)以明(míng)文(wén)方式向服務器(qì)傳輸個↑γ(gè)人(rén)信息（包括：姓名、年(nián)齡、±ε♦→性别、電(diàn)話(huà)号碼、郵箱地(dì)<≠λ址、位置信息、唯一(yī)設備标識碼等）。

γφ©≥ 這(zhè)些(xiē)個(gè)人(rén)信息在Ω"→©個(gè)人(rén)信息控制(zhì)者、單個(gè)或多÷↔'(duō)個(gè)第三方之間(jiān)流動，增加了(∑✔★¶le)個(gè)人(rén)信息洩露、濫用(yòng)的(de)安全★φ風(fēng)險，同時(shí)降低(dī)了(le)個(gè)人(rén)β©信息主體(tǐ)對(duì)其個(gè)人(rén)&™♥信息的(de)控制(zhì)能(néng)力。

（二）SDK借助合法App執行(xíng)惡意操作(↔↓zuò)

&nbs€p;為(wèi)了(le)謀取經濟利益，部分(fēn)惡意開(k↓‍āi)發者滲入到(dào)SDK開(kāi)發環節，以提供第三 ≤ 方服務的(de)方式吸引App開(kāi)發者來(lái)使用(yòng→ )他(tā)們的(de)SDK。

這(zhè)™♥‌↓些(xiē)惡意SDK借助合法應用(yòng)可(kě)以有≈₩(yǒu)效地(dì)躲避一(yī)部分(fēn)應用(ε✘yòng)市(shì)場(chǎng)和(hé)σ∑安全廠(chǎng)商的(de)檢測。惡意開(kāi)發者能(néng)夠 ε±利用(yòng)後門(mén)對(duì)用(yòng)ε ≈戶手機(jī)進行(xíng)遠(yuǎn)程靜(jìng)默安裝應用(yò‍>ng)、靜(jìng)默添加聯系人(rén)、♣εδ獲取用(yòng)戶隐私信息等。

2018年(niáδ¥↓n)4月(yuè)，騰訊安全反詐騙實驗室的(de)TRP-AI反病毒引擎捕ε$‌獲到(dào)一(yī)個(gè)惡意推送信息的±γ∞÷(de)軟件(jiàn)開(kāi)發工(gōng)具包（SDK）&mdash↕≠≤;—“寄生(shēng)推&rd¥£quo;，它通(tōng)過預留的(de)&✘$♠ldquo;後門(mén)”雲控開(kāi)÷β啓惡意功能(néng)，私自(zì)Root用(✘®¶∏yòng)戶設備并植入惡意模塊，進行(xíng)惡意廣告行(xíng)為(wè★ i)和(hé)應用(yòng)推廣，以實現(xiàn)牟取灰色收益。φ$300多(duō)款知(zhī)名App遭遇“寄生(&$'✔shēng)推”的(de)病毒感染，其中δ♦不(bù)乏用(yòng)戶超過千萬的(de)巨量≠↑級軟件(jiàn)，潛在影(yǐng)響用(yòng)戶超Ω♠≤2000萬。

（三）第三方SDK自(zì)身(shēn)安全性令人(rén)堪φ‌®憂

目前σ↓ ，絕大(dà)部分(fēn)第三方SDK缺乏安全審‍$核環節，造成代碼存有(yǒu)未知(zhī)安全漏洞。

←£ 目前，已經發現(xiàn)的(de)SDK安全漏洞包括HTTP誤用✘φ(yòng)，SSL/TLS不(bù)正¥∞确配置、敏感權限濫用(yòng)、通(tōng)過日(rì)δ→志(zhì)造成信息洩露等。

而近(jìn)₽¶&♥兩年(nián)，FFmpeg、SQLite、pdfiβ☆€'um、個(gè)信SDK、Chrome內(nèi)核等SDK已經被曝光(g¥§±uāng)存在安全漏洞，由于這(zhè)些(xiē)第三方SDK被廣☆¥∞∞泛使用(yòng)到(dào)大(dà)量App中，漏洞的(de)‌&造成影(yǐng)響範圍非常大(dà)。

例如(rú)，201≈★∏•7年(nián)12月(yuè)，國(guó)內(✘ε™nèi)消息推送廠(chǎng)商友(yǒu)盟≥ SDK被披露存在可(kě)越權調用(yòng)未δ§↕導出組件(jiàn)的(de)漏洞，利用(yòng)該漏洞便可(kě)實現(x©←♦iàn)對(duì)使用(yòng)了(le)友(yǒu)盟SDK的 ₩γ¶(de)應用(yòng)進行(xíng)多(duō)種惡意攻擊。據悉 ✘δ±，友(yǒu)盟SDK漏洞共影(yǐng)響了(le)七↕™&千多(duō)款App。

對(duì)策建議(yì)

當前，各↔σ‌類APP全天候深度參與廣大(dà)用(yòng)戶生 §(shēng)産生(shēng)活，嵌入其中的(de≤✔)SDK也(yě)随之獲得(de)了(le)獲取用(yòng)戶個(gè)✘±>♣人(rén)信息的(de)渠道(dào)，掌握₽ "的(de)數(shù)據量龐大(dà)，而其作(zuò)為(wèε®i)第三方的(de)角色使得(de)數(shù)據流向更加♦•±多(duō)樣化(huà)，潛在安全風(fēng)險不(bù)容忽視(shì)<☆♠。

然而，目∑↑&£前從(cóng)法規及監管的(de)管轄對(duì)象來(lái)看(kà≥←n)，多(duō)側重于對(duì)網絡運©'營者的(de)規制(zhì)，并非所有(yǒu→ )SDK開(kāi)發者均在監管範圍內(nèi)，在一(yī)定程度上(&♥↕shàng)部分(fēn)SDK處在法律和(hé)監管的(de)真空(¥×kōng)地(dì)帶。

建≈©★∞議(yì)政府部門(mén)高(gāo)度重視(shì)，将SDK→>→納入監管範圍，從(cóng)法律和(hé)政策層↔ ÷面進行(xíng)規範和(hé)引導。同時(shí)，考慮到(dào)SDK£λ應用(yòng)體(tǐ)量大(dà)、問(wγ™≠èn)題發現(xiàn)困難和(hé)技(jì)術(shù)檢✘✔σ<測複雜(zá)的(de)特點，建議(yì)充分(fēn)©γδ調動各界力量，形成“政府規制(zhì)、社會(huì)監督、企業(≥₹yè)履責”監督機(jī)制(zhì)，共∑☆•€同營造良好(hǎo)安全生(shēng)态。

（一(yī)）加快(kuài)推進SDK安全系列标準研制 (zhì)

÷ε 建議(yì)盡快(kuài)啓動SDK安全系列标準研究，圍繞SDK♣δ♣的(de)自(zì)身(shēn)安全性、數(shù)據安全和(hé )個(gè)人(rén)信息保護等方面的(de)問(wèn)題，♠×÷加快(kuài)研制(zhì)相(xiàng)關标準規範、操作(zuò♥×÷)指引，指導App開(kāi)發者規範使用(yòng)第三方SDK，引導♣§¶↑SDK開(kāi)發者提升SDK自(zì)身(shēn)∑ε$安全水(shuǐ)平，降低(dī)App使用(yòng)第三‍♦>γ方SDK的(de)安全風(fēng)險。

（二）加強第三方SDK安全監管

建議(yì)政府部門↔♥β(mén)采取全網監測、不(bù)定期抽查等方式，對(duì)于媒體(tǐ)<φ≠曝光(guāng)、社會(huì)披露、監督檢查中發現(xiàn)↔σ存在違法違規行(xíng)為(wèi)或安全隐患的(de)第三方&‍λ™SDK，經驗證核實無誤的(de)，定期向社會(huì)通(t↓≠ōng)報(bào)違法違規第三方SDK名單。

（三）開(kāi)展第三方SDK行(xíng)業(yè)自(zì)÷±>♥律

≠§♥; 建議(yì)相(xiàng)關行(xín₹g)業(yè)協會(huì)或社會(huì)組織可(kě)以主動發揮' 行(xíng)業(yè)自(zì)律平台作(zuò)用(yòng)，推動↓><÷各利益相(xiàng)關方共同制(zhì)定第三方SDK安全準則、收集φδα使用(yòng)個(gè)人(rén)信息行(↑ xíng)為(wèi)準則等，推廣宣傳相(xiàng)關最佳實踐，₩×β帶動提升第三方SDK整體(tǐ)安全水(shuǐ)平。

本文(wén)轉載自(zì)：App個(gè)人(rén)信息舉報(bào)公衆号。

上(shàng)一(yī)篇：關于未來(lái)商城(chéng)系統∑Ω¶×開(kāi)發的(de)介紹
下(xià)一(yī)篇：值得(de)推薦的(de)移動應用(yòng)app設計(jì)開γ<(kāi)發工(gōng)具 Creo Pro Mac ∏ φ破解版