内鬼10.0

　　也许内置了第三方软件开发套件（SDK），包括手机软件（App）的业务劫持、恶意广告的推送、个人信息的不正当收集等。 　　警惕手机软件的“内鬼” 　　最近，根据国家计算机病毒应急处理中心的监测，15种移动App和1种SDK存在隐私违反行为，涉嫌在范围外收集个人隐私信息。今年2月，工信部信息通信管理局也通报了今年首次侵犯用户权益行为的App，13种第三方SDK有违反用户设备信息收集的行为。 　　随着移动互联网时代的到来，App与人们的工作生活密切相关。现在，很多App利用SDK实现特定功能，提供满足用户各种需求的便利服务。但是，也不能忽视与那个相关的安全问题。 　　SDK是？和App有什么关联？ 　　根据最新数据，国内市场的App达到了252万个。目前，App功能的复杂性和版本的迭代速度已大幅度提高，已进入向大众提供精细化、场景化服务的阶段。 　　“应用开发者为了提高重复速度，削减开发成本，丰富商务功能，除了自主开发外，还内置SDK，快速访问某个商业功能，实现该功能。”安天移动安全高级副总裁陈家林说。 　　据安天移动安全风险应用检查预警平台统计，目前中国80%以上的App将第三方SDK整合在一起，每个App的整合数量接近20种。根据中国信息通信研究院和腾讯公司共同发表的“软件开发包（SDK）安全研究报告（2021年）”，100种以上的App集成的第三方SDK超过了3万种。 　　SDK是？在“TC260-PO-20205A移动互联网应用程序（App）中的第三方软件开发套件（SDK）安全指南（意见听取稿）”中，定义为帮助某个软件的开发的相关文档、样本、工具的集合。第三方SDK是指第三方的服务提供商或开发者提供的工具包。 　　“像制造电视和汽车的工厂一样，为了实现更好的性能，从外部购买具有特定功能的零件组装产品”。某个信息平台的工程师田强这样比喻。 　　第三方SDK提供的App功能服务包括消息的推送、支付、广告、行动分析统计、第三方登记等。SDK中也有用于特定品种应用的。例如，社交App通常访问即时消息类SDK，网络App可访问安全风控制类SDK。 　　填埋方便，风险也嵌入其中 　　根据这次工信部通报的SDK违反问题，除了多个SDK违反了设备ID之外，还有一件违反了设备传感器信息的收集，一件参与了设备设置违反清单的收集。 　　对此，陈家林坦言，目前市场上流通的第三方SDK的生态很复杂，对于App开发者来说，第三方SDK运行时的行为可能不透明。在采用相同SDK导入不同App或App的不同版本中，版本、功能、模块可能存在差异。“大多数情况下，App开发者很难全面评价SDK的安全性，很难掌握SDK的所有动作。”陈家林说。 　　“我使用过记录日志执行数据的SDK组件。几年前这个SDK组件出现了脆弱性，平台的数据安全受到了严重威胁。”田强回忆说，黑客可以通过第三方SDK的脆弱性登录服务器，获得操作权限，并任意处理其中的用户数据。 　　安天移动安全近期发布的《移动互联网应用供应链（SDK）行为安全现状研究报告》指出，SDK的恶意行为包括交通劫持、隐私盗窃、无声下载安装、恶意广告、包括远程控制等。SDK的风险行为包括非法收集个人信息、云控制SDK、欺骗用户下载App、伪装、匿名推消息等。 　　“App通过访问第三方SDK提供服务，明确个人信息处理责任的界限，实施安全措施等方面，增加了复杂性和安全风险。企业如何规范App访问的各种第三方SDK服务，已经成为数据合规的难点之一。”。中国电子技术标准化研究院网络安全研究中心的评估实验室的副主任延哲说。 　　警惕违反，收集用户个人信息的混乱 　　根据去年年底国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法收集使用个人信息监测分析报告》，第三方SDK收集行为普遍存在，该行为规范化导致的App违反问题日益明显。 　　“这样的问题在检测中也得到了确认。具体来说，在用户同意隐私政策之前开始收集个人信息，在隐私策略中没有明确提及SDK数据收集的访问，SDK的个人信息收集范围和隐私策略的说明包括不一致等。”陈家林说。 　　从个人信息处理的观点来看，何延哲认为，理想的第三方SDK和App有“委托处理”、“独立处理”和“共同处理”三种模式。第三方SDK必须按照与App开发者约定的目的和方式处理个人信息时，即第三方SDK接受“委托处理”，App开发者承担通知同意的职责。当App开发者不能充分定制或限制第三方SDK的个人信息处理行为时，如果双方属于“独立的处理者”，则App开发者需要向第三方SDK通知个人信息处理规则。如果App与第三方SDK约定共同决定个人信息的处理，双方有成为“共同处理者”的可能性，则必须以个人信息处理者的名义向用户明确通知。 　　然而，在实际开发运营中，两者的关系往往比理想模式更复杂。何延哲提议，App可以直观地与用户对话，提供服务，应承担更大的告知职责。第三方SDK提供服务时，如果需要处理个人信息，必须积极地详细通知处理规则。 　　应遵循最小化、必要性设计的原则 　　第三方SDK嵌入App中时，也嵌入了风险要素。对此，从事移动平台研发的客户工程师陆阳表示，一线工程师不仅关注软件开发业务，还明确了所使用SDK的基本信息，有必要认识，与安全团队合作，符合业务诉求我认为应该选择能够保证安全性的SDK。 　　陈家林认为，从产业链的角度来看，SDK提供者应遵守个人信息保护法、数据安全法等相关法规和App用户权益政策的要求，在涉及个人信息收集和使用行为方面必须坚持最小化、必要性设计的原则。App开发者在选择SDK访问时，需要重点评价SDK提供者及其SDK安全性。 　　关于用户的权益，何延哲认为，如果根据用户的同意使用SDK服务，用户有权撤销同意。如果SDK收集用户信息是为了履行法定义务，则不应提供停止或拒绝功能。如果SDK和App是委托关系，App必须响应于限制或拒绝处理个人信息。 　　近年来，国家有关部门的一部分标准文件中提出了App和SDK的安全技术要求和规范指南，一部分处于征求意见的阶段。根据欧盟（EU）的“通用数据保护条例”（GDPR）的要求，欧洲广告交互协会尝试“同意管理平台模型（CMP）”。何延哲说，这个模型本身有助于更规则地处理个人信息，具有一定的参考性。我国法律框架和App、SDK真正适合开发产业生态的个人信息处理模式，需要各方面的持续性研究尝试。 　　出典：光明日报（光明网记者孔繁鑫李政）