關注App嵌入第三方SDK收集使用個人信息安全隱患

      SDK是SoftwareDevelopment Kit的縮寫，即“軟件開發工具包”。簡單來說，它是輔助開發移動應用軟件（APP）的相關文檔、范例和工具的集合。

      對 App 開發者來說，為了提高開發效率、降低成本，可以將某項功能交給第三方來開發，第三方服務提供商將服務封裝為工具包（即SDK）供App開發者使用。

      現如今，App開發者使用第三方SDK已經成為普遍現象。然而，第三方SDK自身存在的安全漏洞，以及隱瞞收集個人信息等問題，使得其安全現狀不容樂觀，需要引起各方重視。

App使用第三方SDK現狀：

      近年來，我國智能手機普及率持續攀升。據美國媒體機構Zenith發布的最新研究報告預測，中國智能手機用戶數量將位居全球第一，達到13億。龐大的智能手機用戶群體托起了我國繁榮的移動應用軟件（App）市場，以及為App提供信息推送、廣告分發、數據分析、地圖導航等功能的第三方SDK服務市場。

 

（一）第三方SDK的主要類型

      目前，最常見、使用最多的SDK類型包括第三方登錄分享類、支付類、推送類、廣告類和數據統計分析類。前兩種類型相對好理解，下面主要介紹后三種SDK類型的情況：

 

1、推送類SDK

       App開發者可以使用推送類SDK及時地向其用戶推送通知或者消息，與用戶保持互動，從而有效地提高留存率,提升用戶體驗。

       目前，主流的推送類SDK包括：百度云推送、騰訊信鴿推送、極光推送、個推推送、友盟推送、智游推送、華為推送、小米推送、魔橋推送、盛大云推送等。

       同時，推送類SDK普遍運用于各個領域的App，包括：資訊閱讀類、社交交友類、金融理財類、視頻影音類、生活服務類、電商購物類、工作效率類、游戲娛樂類、物聯網類等。

 

2、廣告類SDK

       據《中國互聯網發展報告2018》顯示，2019年網絡廣告市場規模將破6000億。

       隨著移動廣告紅利時代的到來，越來越多的App開發者開始使用廣告類SDK，而廣告類SDK對各類廣告形式的支持情況也成為影響App開發者收入的關鍵因素之一。

       目前，國內市場上提供廣告類SDK的企業有很多家，主流的有多盟、TalkingData、力美、有米、InMobi、友盟、哇棒、安沃、Igexin、airAD、微云、百度廣告等。

       廣告類SDK主要運用于電商類、社交類、游戲類、美妝類App。

 

3、數據統計分析類SDK

       數據統計分析類SDK可以幫助App開發商統計和分析流量來源、內容使用、用戶屬性和行為數據，以便開發商利用數據進行產品、運營、推廣策略的決策。

       因此，越來越多的App開始使用數據統計分析類SDK。據騰訊安全反詐騙實驗室發布《網絡安全新常態下Android應用供應鏈安全探秘》報告指出，數據統計分析類SDK 集成比例最高。

       目前，主流的數據統計分析類SDK包括：友盟、海度云、谷歌Analytics、Appsee、360SDK、貴士移動等。

       數據統計分析類SDK主要運用于金融類、電商類、教育類、出行類、社交類、新聞資訊類App。

 

（二）第三方SDK應用現狀

       考慮時間、成本等因素，App開發者使用第三方SDK已成為普遍現象。中國專業IT社區CSDN相關專業人士對15個類別、1000多款主流App使用第三方SDK的統計分析結果顯示，App使用最為廣泛的第三方SDK類型為第三方登錄分享類、推送類、數據統計類SDK，以及一些基礎庫（例如：GSON、OkHttp、EventBus等）。

       如圖1所示，廣大網友最普遍使用的8類App（實用工具類、影音視聽類、聊天社交類、時尚購物類、旅行交通類、新聞資訊類、金融理財類、圖書閱讀類）中，平均使用最多的10個SDK分別是微信登錄分享、GSON、友盟統計、QQ登錄分享、微博登錄分享、小米推送、支付寶、OkHttp、org.json等。

       在15個APP類型中，體育運動類、醫療健康類、時尚購物類App平均使用第三方SDK數量位列前三，分別為30.6、30.5和28.6個。

圖2 App中使用第三方SDK的數量分布圖

 

第三方SDK安全問題分析

      由于第三方的SDK開發側重于功能性的完善，在安全性方面的投入較少，導致App開發者使用第三方SDK存在多種安全問題。

 

（一）隱瞞收集用戶個人信息

       近年來，涉及第三方SDK隱瞞收集個人信息的安全事件逐漸增多，例如：今年上半年，中國某科技企業被曝光利用SDK隱瞞收集用戶聯系人信息、QQ登錄信息、位置信息等；Facebook被曝光在未告知用戶的情況下，利用App Events統計分析工具從11個應用程序中收集用戶敏感信息。

       我院通過對App嵌入的第三方SDK進行檢測也發現，有些第三方SDK能夠收集個人信息標識、行動軌跡、個人偏好、網絡設備信息等，并上傳至遠程服務器，甚至是境外服務器。

       同時，卡巴斯基實驗室研究人員也曾公開表示，目前使用廣告推送SDK的應用程序總數已達到幾十億，其中大多數會以明文方式向服務器傳輸個人信息（包括：姓名、年齡、性別、電話號碼、郵箱地址、位置信息、唯一設備標識碼等）。

       這些個人信息在個人信息控制者、單個或多個第三方之間流動，增加了個人信息泄露、濫用的安全風險，同時降低了個人信息主體對其個人信息的控制能力。

 

（二）SDK借助合法App執行惡意操作

       為了謀取經濟利益，部分惡意開發者滲入到SDK開發環節，以提供第三方服務的方式吸引App開發者來使用他們的SDK。

       這些惡意SDK借助合法應用可以有效地躲避一部分應用市場和安全廠商的檢測。惡意開發者能夠利用后門對用戶手機進行遠程靜默安裝應用、靜默添加聯系人、獲取用戶隱私信息等。

       2018年4月，騰訊安全反詐騙實驗室的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發工具包（SDK）——“寄生推”，它通過預留的“后門”云控開啟惡意功能，私自Root用戶設備并植入惡意模塊，進行惡意廣告行為和應用推廣，以實現牟取灰色收益。300多款知名App遭遇“寄生推”的病毒感染，其中不乏用戶超過千萬的巨量級軟件，潛在影響用戶超2000萬。

 

（三）第三方SDK自身安全性令人堪憂

       目前，絕大部分第三方SDK缺乏安全審核環節，造成代碼存有未知安全漏洞。

       目前，已經發現的SDK安全漏洞包括HTTP誤用，SSL/TLS不正確配置、敏感權限濫用、通過日志造成信息泄露等。

       而近兩年，FFmpeg、SQLite、pdfium、個信SDK、Chrome內核等SDK已經被曝光存在安全漏洞，由于這些第三方SDK被廣泛使用到大量App中，漏洞的造成影響范圍非常大。

       例如，2017年12月，國內消息推送廠商友盟SDK被披露存在可越權調用未導出組件的漏洞，利用該漏洞便可實現對使用了友盟SDK的應用進行多種惡意攻擊。據悉，友盟SDK漏洞共影響了七千多款App。

對策建議

       當前，各類APP全天候深度參與廣大用戶生產生活，嵌入其中的SDK也隨之獲得了獲取用戶個人信息的渠道，掌握的數據量龐大，而其作為第三方的角色使得數據流向更加多樣化，潛在安全風險不容忽視。

       然而，目前從法規及監管的管轄對象來看，多側重于對網絡運營者的規制，并非所有SDK開發者均在監管范圍內，在一定程度上部分SDK處在法律和監管的真空地帶。

       建議政府部門高度重視，將SDK納入監管范圍，從法律和政策層面進行規范和引導。同時，考慮到SDK應用體量大、問題發現困難和技術檢測復雜的特點，建議充分調動各界力量，形成“政府規制、社會監督、企業履責”監督機制，共同營造良好安全生態。

 

（一）加快推進SDK安全系列標準研制

       建議盡快啟動SDK安全系列標準研究，圍繞SDK的自身安全性、數據安全和個人信息保護等方面的問題，加快研制相關標準規范、操作指引，指導App開發者規范使用第三方SDK，引導SDK開發者提升SDK自身安全水平，降低App使用第三方SDK的安全風險。

 

（二）加強第三方SDK安全監管

       建議政府部門采取全網監測、不定期抽查等方式，對于媒體曝光、社會披露、監督檢查中發現存在違法違規行為或安全隱患的第三方SDK，經驗證核實無誤的，定期向社會通報違法違規第三方SDK名單。

 

（三）開展第三方SDK行業自律

       建議相關行業協會或社會組織可以主動發揮行業自律平臺作用，推動各利益相關方共同制定第三方SDK安全準則、收集使用個人信息行為準則等，推廣宣傳相關最佳實踐，帶動提升第三方SDK整體安全水平。

本文轉載自：App個人信息舉報公眾號。