SDK搜集个人信息类型
——境外情报机构将SDK作为搜集数据的重要渠道。据报道,美国特种作战司令部曾向美国SDK服务商Anomaly Six购置了“商业遥测数据源”的访问服务,而该服务商曾自称将SDK软件植入全球超过500款应用中,可以监控全球大约30亿部手机的位置信息。2022年4月,有关媒体曝光巴拿马一家公司通过向世界各地的应用程序开发人员付费的方式,将其SDK代码整合到应用程序中,秘密地从数百万台移动设备上收集数据,而该公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。
《华尔街日报》:美国政府承包商在多个手机APP中嵌入跟踪软件
消除SDK背后的数据风险
我们应该怎么做?
据国内权威机构掌握,截至2022年12月,我国10万个头部应用中,共检测出2.3万余例样本使用境外SDK,使用境外SDK应用的境内终端约有3.8亿台。对此,我们又应该做些什么呢?
SDK申请收集用户信息占比
——应用程序开发企业:应尽量选择接入经过备案认证的SDK,引入境外SDK前应做好安全检测和风险评估,深入了解SDK的隐私政策,并利用SDK demo以及APP测试环境对SDK声明内容进行一致性比对,并持续监测SDK是否有异常行为。
——个人用户:个人用户在使用手机应用程序时,要增强个人信息保护意识及安全使用技能,要选择安全可靠的渠道下载使用应用程序,不安装来路不明的应用,不盲目通过敏感权限的申请。特别是发现SDK申请与应用功能无关的权限时,需要保持高度警惕。(责任编辑:梁云娇 CN079)
来源:国家安全部
编辑: