你的APP引入的第三方SDK可能是个“暗桩”

字号：大中小

　　当下，个人隐私数据相关话题受到公众广泛关注。手机APP作为人们日常工作、生活必不可少的一部分，承载着极强的用户隐私相关属性。保护个人隐私的意识在APP的用户群体中愈发凸显——卸载一个APP的理由有很多，有时只因为“你要的权限太多了”。

　　诚然，“权限”不等于“个人隐私”，但对于APP用户，“权限”等于“你能干什么事”，进而可以引申为“你一定会干这些事”。

　　虽然很多时候用户的猜忌是“无厘头”的，但苦就苦在，APP没有一张“好人卡”。于是就出现了这样一个矛盾：“干坏事”的APP和“不干坏事”的APP被用户一视同仁了，用户不信任APP，APP也难以自证清白。

　　2019年8月8日，全国信息安全标准化技术委员会发布了关于开展国家标准《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》征求意见工作的通知。

　　该国家标准的设立具有重大意义，一旦正式开始实施，则APP收集用户的个人信息的方式、方法和内容将有标准可依，APP的安全认证工作也能被极大地推进。可以预见，后续不符合标准的APP一经核实，将面临应用下架、用户声讨、行业谴责和监管整治等局面。

　　APP究竟有没有侵犯用户的隐私，或者说有没有过多地采集那些不必要的用户信息，其实自己是“门儿清”的。但关于标准的合规，仍旧有以下几个盲点：

　　一是不清楚怎么样算合理合法地获取用户信息，有哪些具体的细节需要注意；

　　二是对于引入的第三方SDK，APP并不能完全地知晓这些SDK到底做了哪些操作，而SDK和APP对于用户来说是一体的，虽然用户无法感知到SDK的存在，但是如果引入的SDK不合规，那么APP一定不会合规。

　　不幸的是，有相当一部分SDK都或多或少地采集了不必要的用户信息。中国金融认证中心（CFCA）与南方都市报隐私护卫队关于SDK获取个人隐私的测评和调查结果显示：

　　一些SDK虽然没有在官方文档中申明所用某类权限或者收集某类数据，但是在实际的分析中它被发现会根据其嵌入的APP的具体权限，选择性地收集用户的个人信息，收集的部分信息甚至超出了官方材料申明的范围；有的SDK甚至被发现具有疑似后门的特征。

　　从这个角度来看，“不做坏事的APP”其实也并不能保证自己真的没有问题——尽管APP可能是被动的，毫不知情的。

　　SDK是软件供应链中重要的一环，在为APP开发运营方提供标准、统一和方便的业务功能时，同样也带来了不可避免的风险。

　　近年来，在国内外范围内发生过多起因引入恶意或存在漏洞的第三方SDK而造成的严重的信息安全事故。据悉，2015年，百度Moplus SDK被发现具有后门功能，攻击者只要与用户同处一个局域网环境、甚至是连接同一个基站，他就能远程安装恶意的后门木马，达到控制手机的目的；“有米”、“个信”等SDK也曾被发现存在未经允许收集用户的个人信息的安全隐患，导致百款嵌入了上述这两种SDK的移动客户端应用软件因安全问题被苹果应用商店和Google Play悉数下架；“寄生推”SDK则可以通过预留的“后门”发布恶意广告和强制应用推广，影响了300多款知名移动应用程序和数以千万计的用户。

　　对于企业来说，构建一个良好的SDK准入流程或标准是解决此类问题最有效的措施。但由于SDK的特殊性，一般很难对其进行全方位的测评，这就给SDK准入工作的推进造成了困难。

　　CFCA作为国内首批提供APP安全和SDK供应链安全检测的权威第三方测评机构，目前已经为多个监管机构、认证单位、社会媒体对APP的安全和个人信息的安全提供了全方位、专业和定制化的测评服务，并积累了行业少有的SDK测评案例，可以帮助企业开展SDK准入类和其他软件安全类的第三方测评工作。

　　在用户对保障个人信息安全、财产安全的呼声越来越高，对安全事故的发生忍耐力越来越低的今天，给APP做全方位的“体检”俨然成为APP开发运营方必修的功课。体检要趁早，莫等“期末考试”，上有“监管老师”，下有“阅卷用户”时候出了问题，才悔之晚矣。　　

责任编辑：韩希宇