大陆国家安全部警惕 境外SDK收集数据恐是间谍窃密

大陆国家安全部警惕境外SDK背后数据间谍窃密。（示意图／达志影像）

大陆官方「国家安全部」微信公号27日消息，大陆国家安全机关近年来工作发现，境外一些别有用心的组织和人员，正在通过SDK搜集中国大陆使用者数据和个人资讯，给大陆国家安全造成了一定风险隐患。

SDK是Software Development Kit缩写，即软体开发套件，类型多种多样。如果把开发软体系统比作盖房子，那只需从不同供应商选择不同功能模组拼装即可，不需从砌砖垒墙做起，极大提高软体发展效率。

大陆国安部称，SDK以多样化、易用性和灵活性等优势成为移动供应产业链最重要服务之一，同时带来诸多数据安全问题：

过度搜集使用者数据。有些SDK会搜集与提供服务无关的个人资讯，或强制申请非必要的使用权限，比如获取地理位置、通话记录、相册照片等资讯以及拍照、录音等功能。当SDK的使用者覆盖量达到一定规模时，可以通过搜集的大量数据，对不同使用者群体进行画像侧写，从而分析出潜在的有用资讯，比如同事关系、单位位置、行为习惯等。一些境外SDK服务商，通过向开发者提供免费服务，甚至向开发者付费等方式来获取数据。据相关网站披露，一款在美国拥有5万日活跃使用者的应用程式，其开发者通过使用某SDK，每月可以获得1500美元收入。作为回报，该SDK服务商可从这款应用程式中搜集使用者的位置数据。

境外情报机构将SDK作为搜集数据的重要管道。据报导，美国特种作战司令部曾向美国SDK服务商Anomaly Six购置了「商业遥测数据来源」的访问服务，而该服务商曾自称将SDK软体植入全球超过500款应用中，可以监控全球大约30亿部手机的位置资讯。2022年4月，有关媒体曝光巴拿马一家公司通过向世界各地的应用程式开发人员付费的方式，将其SDK代码整合到应用程式中，秘密地从数百万台移动设备上搜集数据，而该公司与为美国情报机构提供网路情报搜集等服务的国防承包商关系密切。

如何消除SDK背后的数据风险？据大陆国内权威机构掌握，截至2022年12月，中国大陆10万个龙头应用中，共检测出2.3万余例样本使用境外SDK，使用境外SDK应用的境内终端约有3.8亿台。

大陆国安部分析因应之道指出，从SDK申请搜集使用者资讯占比而言：

应用程式开发企业：应尽量选择接入经过备案认证的SDK，引入境外SDK前应做好安全检测和风险评估，深入了解SDK的隐私政策，并利用SDK demo以及APP测试环境对SDK声明内容进行一致性比对，并持续监测SDK是否有异常行为。

个人用户：个人使用者在使用手机应用程式时，要增强个人资讯保护意识及安全使用技能，要选择安全可靠的管道下载使用应用程式，不安装来路不明的应用，不盲目通过敏感许可权的申请。特别是发现SDK申请与应用功能无关的许可权时，需要保持高度警惕。