近年来,国家安全机关发现境外一些组织和个人利用软件开发工具包(SDK)搜集用户数据和个人信息,给国家安全带来了风险。什么是SDK?SDK是软件开发工具包的缩写,它的类型多种多样。就像盖一座房子一样,不同的SDK就是这个房子的各个功能模块。SDK的优势是提高了软件开发的效率,但也带来了诸多数据安全问题。
首先,一些SDK会过度收集用户数据。这些SDK会收集一些与提供服务无关的个人信息,甚至会强制申请非必要的使用权限,比如获取地理位置、通话记录、相册照片等。这些SDK利用用户的数据进行画像侧写,分析潜在的有用信息,比如同事关系、单位位置、行为习惯等。为了获取用户数据,一些境外SDK服务商甚至向开发者提供免费服务或付费。
其次,境外情报机构将SDK作为搜集数据的重要渠道。据报道,美国特种作战司令部曾向美国SDK服务商购置了访问服务,该服务商自称将SDK软件植入全球超过500款应用中,可以监控全球约30亿部手机的位置信息。类似的情况也发生在巴拿马,一家公司利用SDK代码秘密收集数百万台移动设备上的数据。这家公司与为美国情报机构提供服务的国防承包商关系密切。
为了消除SDK背后的数据风险,国家安全部提出了一些建议。对于应用程序开发企业,他们应该选择经过备案认证的SDK,并在引入境外SDK之前进行安全检测和风险评估。他们还应该深入了解SDK的隐私政策,并与SDK声明内容进行一致性比对。同时,应持续监测SDK是否有异常行为。对于个人用户来说,他们在使用手机应用程序时,要增强个人信息保护意识及安全使用技能。他们应该选择安全可靠的渠道下载使用应用程序,不安装来路不明的应用,不盲目授予敏感权限。
据国内权威机构数据显示,截至2022年12月,我国头部应用中共检测出超过2.3万例样本使用境外SDK,而境内终端约有3.8亿台使用境外SDK的应用。这说明SDK的泄露问题极其严重,需要引起重视。国家安全部呼吁各方共同努力,加强对SDK的监管,保护用户的数据安全。只有这样,才能有效消除SDK背后的数据风险,确保国家安全和用户的隐私。
