手機軟件（App）出現(xiàn)流量劫持、惡意廣告推送、違規(guī)收集個人信息等情況，或許是內(nèi)嵌第三方軟件開發(fā)工具包(SDK)在作怪——

警惕手機軟件里的“內(nèi)鬼”

光明網(wǎng)記者 孔繁鑫 李政葳

近日，國家計算機病毒應急處理中心監(jiān)測發(fā)現(xiàn)15款移動App及1款SDK存在隱私不合規(guī)行為，涉嫌超范圍采集個人隱私信息。今年2月份，工信部信息通信管理局也通報了今年第一批侵害用戶權(quán)益行為的App，有13款內(nèi)嵌第三方SDK存在違規(guī)收集用戶設備信息行為。

伴隨移動互聯(lián)網(wǎng)時代到來，App與人們工作生活的關(guān)聯(lián)日益密切。如今，大量App借助SDK實現(xiàn)特定功能，提供便捷服務，滿足用戶多樣需要。但與之相關(guān)的安全問題，同樣不容忽視。

何為SDK？與App有何關(guān)聯(lián)？

最新數(shù)據(jù)顯示，國內(nèi)市場上App已達252萬款。當前，App功能復雜程度及版本迭代速度大幅提升，已進入為大眾提供精細化、場景化服務階段。

“應用開發(fā)者為提高迭代速度、降低開發(fā)成本及豐富業(yè)務功能，除了自主開發(fā)外，還會內(nèi)嵌SDK，從而快速接入和實現(xiàn)某類業(yè)務功能?！卑蔡煲苿影踩呒壐笨偛藐惣伊终f。

安天移動安全風險應用檢測預警平臺統(tǒng)計發(fā)現(xiàn)，目前，我國80%以上App集成了第三方SDK，平均每個App集成數(shù)量近20款。中國信息通信研究院與騰訊公司聯(lián)合發(fā)布的《軟件開發(fā)包（SDK）安全研究報告（2021年）》中提到，被100款以上App所集成的第三方SDK已超3萬款。

何為SDK？《TC260-PG-20205A移動互聯(lián)網(wǎng)應用程序（App）中的第三方軟件開發(fā)工具包（SDK）安全指引（征求意見稿）》中將其定義為，輔助開發(fā)某一類軟件的相關(guān)文檔、范例和工具的集合；第三方SDK則指由第三方服務商或開發(fā)者提供工具包。

“就像一家工廠在制造電視或汽車時，為實現(xiàn)更好的性能，從外界購買一些具有特定功能的零件組裝在產(chǎn)品里?！币患屹Y訊類平臺的工程師田強這樣打比方。

記者了解到，第三方SDK提供的App功能服務包括消息推送、支付、廣告、行為分析統(tǒng)計、第三方登錄等。有的SDK用于特定的品類應用中，比如，社交類App通常接入即時消息類SDK，網(wǎng)賺類App則會接入安全風控類SDK。

嵌入了便利，也嵌入了風險

從本次工信部通報的SDK違規(guī)問題可以看出，除多款SDK涉及違規(guī)獲取設備ID外，還有1款涉及違規(guī)收集設備傳感器信息，1款涉及違規(guī)收集設備安裝列表。

對此，陳家林坦言，目前市面上的第三方SDK生態(tài)比較復雜，對于App開發(fā)者來說，第三方SDK運行時的行為可能并不透明；同一SDK引入不同App或App的不同版本中，其版本、功能、模塊可能存在差異。“很多場景下App開發(fā)者難以全面評估SDK的安全性，且難以掌握SDK的全部運行行為?！标惣伊终f。

“我們曾采用過一款記錄日志運行數(shù)據(jù)的SDK組件。幾年前該SDK組件出現(xiàn)漏洞，平臺數(shù)據(jù)安全因此遭遇嚴重威脅。”田強回憶，黑客通過該第三方SDK漏洞，可以登錄服務器并獲取操作權(quán)限，任意處置里面的用戶數(shù)據(jù)。

安天移動安全近日發(fā)布的《移動互聯(lián)網(wǎng)應用供應鏈（SDK）行為安全性現(xiàn)狀研究報告》中提到，SDK惡意行為包括流量劫持、隱私竊取、靜默下載安裝、惡意廣告、遠程控制等；SDK風險行為包括違規(guī)收集個人信息、云端控制SDK、欺騙誤導用戶下載App、偽裝或匿名推送消息等。

“App接入第三方SDK提供服務，在厘清個人信息處理責任邊界、實施安全措施等方面，增加了復雜度和安全隱患。企業(yè)如何規(guī)范App接入的各類第三方SDK服務，已成為數(shù)據(jù)合規(guī)的難點之一?！敝袊娮蛹夹g(shù)標準化研究院網(wǎng)絡安全研究中心測評實驗室副主任何延哲說。

警惕違規(guī)收集用戶個人信息亂象

去年年底，國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡空間安全協(xié)會發(fā)布的《App違法違規(guī)收集使用個人信息監(jiān)測分析報告》顯示，第三方SDK收集行為普遍存在，由該行為不規(guī)范引發(fā)的App違規(guī)問題日益凸顯。

“我們在檢測中也證實了這類問題。具體包括在用戶同意隱私政策前就開始收集個人信息、隱私政策中未明確提及接入SDK數(shù)據(jù)收集情況、SDK收集個人信息范圍與隱私政策描述不相符等?！标惣伊终f。

從個人信息處理角度而言，何延哲認為，在理想情況下第三方SDK和App存在“委托處理”“各自獨立處理”及“共同處理”三種模式：如果第三方SDK需遵循與App開發(fā)者的約定目的及方式處理個人信息，即第三方SDK受“委托處理”，App開發(fā)者承擔告知同意職責；如果App開發(fā)者無法充分定制或限制第三方SDK處理個人信息行為，此時雙方屬于“各自獨立處理者”，App開發(fā)者需告知第三方SDK處理個人信息規(guī)則；如果App與第三方SDK約定共同決定處理個人信息，雙方可能成為“共同處理者”，都應該以個人信息處理者的名義對用戶明示告知。

然而，在實際開發(fā)運營中，兩者關(guān)系相比理想模式往往更為復雜。何延哲建議，App能夠與用戶直觀交互并提供服務，應該承擔更大告知職責；如果第三方SDK提供服務必須處理個人信息，需要主動詳細告知處理規(guī)則。

應遵循最小化、必要性設計原則

第三方SDK嵌入App時，也嵌入了風險元素。對此，從事出行類平臺研發(fā)工作的客戶端工程師陸陽認為，一線工程師不能只關(guān)注軟件開發(fā)業(yè)務，應該對所使用的SDK基本信息有清晰、必要的認識，并與安全團隊配合，選出既符合業(yè)務訴求又能夠保證安全性的SDK。

陳家林認為，從產(chǎn)業(yè)鏈角度看，SDK提供者需遵守個人信息保護法、數(shù)據(jù)安全法等相關(guān)法規(guī)以及App用戶權(quán)益政策要求，在涉及個人信息收集和使用行為上秉持最小化、必要性設計原則；App開發(fā)者在選擇和接入SDK時，需要重點評估SDK提供商及其SDK安全性。

針對用戶權(quán)益，何延哲認為，如果基于用戶同意使用SDK服務，用戶有撤回同意權(quán)利；如果SDK收集用戶信息是為履行法定義務，則不宜提供停止或拒絕功能；如果SDK與App為委托關(guān)系，應由App方對限制或拒絕處理個人信息作出響應。

近年來，國家相關(guān)單位的部分標準文件中，已提出App和SDK的安全技術(shù)要求和規(guī)范指引，部分處于征求意見稿階段。記者也了解到，根據(jù)歐盟《通用數(shù)據(jù)保護條例》（GDPR）要求，歐洲的廣告互動協(xié)會開始嘗試“同意管理平臺模式（CMP）”。何延哲表示，該模式本身有助于使個人信息處理更合規(guī)，具有一定借鑒性。而真正適合我國法律框架和App、SDK開發(fā)產(chǎn)業(yè)生態(tài)的個人信息處理模式，還需要各方持續(xù)研究嘗試。

《光明日報》（ 2022年04月01日10版）

來源： 光明網(wǎng)-《光明日報》