「光明网」技术专家揭秘SDK乱象：超六成含有多种风险漏洞 sdk|网络安全|信息安全|科技

【国家网络安全宣传周·业界之声】

光明网采访人员李政葳

只要一张正脸照，就可以替换为影视作品或小视频中人物，生成以自己为主角的视频片段……最近，一夜爆火的AI换脸软件“ZAO”引发热议。好玩的换脸技术背后，并不是人们想象的那么简单，面部识别信息一旦被滥用，后果将不堪设想。

「光明网」技术专家揭秘SDK乱象：超六成含有多种风险漏洞。在2019年国家网络安全宣传周期间，爱加密高级技术专家程智力告诉光明网采访人员：“目前个人信息安全市场整体情况并不容乐观， App违规收集使用个人信息现象也很普遍。用户往往在不知情的情况下，不声不响地就被窃取了个人敏感信息，并被不法分子利用进行非法交易。 ”

让采访人员印象深刻的是，今年央视的3·15晚会上发布的个人隐私通过手机App泄露的案例。现场主持人使用一款App查询个人社保信息，一旁的网络安全专家通过抓取分析数据包发现，用户信息在查询时已被发送至一家大数据公司的服务器。

程智力表示， App个人隐私安全问题主要集中在五个方面：一是实际收集的个人信息与业务功能无关，比如，金融借贷类App收集用户通信录等；二是未公开收集使用个人信息的规则，比如，没有隐私政策或隐私政策中没有如何收集使用个人信息的相关内容；三是无法注销账号， App不提供注销功能或注销后不及时删除个人信息；四是将基本业务功能与其他业务功能“捆绑” ，要求用户一次性授权同意收集个人信息，不同意则拒绝提供任何业务功能；五是未经用户同意收集个人信息，或在提醒用户阅读隐私政策前就开始收集、上传个人信息。

「光明网」技术专家揭秘SDK乱象：超六成含有多种风险漏洞//联盟头条 http://toutiao.caoding.cn/

（图片来源于网络）

2018年5月1日实施的《信息安全技术个人信息安全规范》规定，有关数据控制方“若接收方处理个人信息超出上述范围的，还应在合理期限内另行征得个人信息主体的明示同意。欧盟《通用数据保护条例》（GDPR）则对何谓有效的“个人同意”做了严格的要求：个人沉默、预先勾选和静止状态不足以认定个人表达了“同意” 。

另外，程智力还提到，有关常用SDK(软件开发工具包)收集个人信息现象同样不容忽视。在日前举办的第七届互联网安全大会上，南都个人信息保护研究中心发布的一份测评报告指出，受测的60款App平均每款使用19.3个SDK ，有的SDK收集个人信息时未在其宿主App的隐私政策或弹窗中告知；有的SDK存在隐瞒收集个人信息的嫌疑；还有的会向自己的服务器回传未经加密的用户个人信息……

“最关键的问题是目前信息安全市场并不是十分完善。比如，有关SDK的个人信息安全并没有出台统一的违法违规行为标准，因此对于SDK普遍存在隐瞒收集用户个人信息的行为，也没有明确的标准进行规范。 ”程智力说。

据爱加密的大数据中心数据看，截止今年4月底共计收录Android应用数据约267万条，其中超50%的App都不同程度的使用了第三方公司提供的SDK工具包；爱加密已收录SDK工具包414个，包括广告、框架、推送、统计、地图、支付、社交等类别，有超过60%的SDK含有多种风险漏洞。

“应用开发者为了实现功能的快速开发，通常会在互联网上查询相关SDK来进行调用，如果这种SDK来源不可信或来源公开透明时，就会出现SDK源码透明、接口暴露等潜在风险。 ”程智力说。

他还提到， SDK中如果植入恶意程序，通过论坛、开发者辅助网站等方式引诱开发者下载集成，恶意代码就可能在开发者不知情的情况下进行App集成，再被用户安装、运行后，可能出现信息盗取、传播垃圾信息、远程控制、诱骗欺诈等违法行为。

针对SDK的安全防护，程智力认为，应采取“分段保护数据验证”的思路。也就是说，在保证SDK业务运营发展前提下，针对SDK的事前、事中、事后被破解、盗用、异常等行为进行及时快速的发现。

「光明网」技术专家揭秘SDK乱象：超六成含有多种风险漏洞。宣传周期间，国家计算机病毒应急处理中心常务副主任陈建民介绍，为构建App和SDK安全治理的长效机制，国家计算机病毒应急处理中心将建立扁平化快速处置联动机制。比如，对国内主流App分发渠道实时监测，从而掌握现存App分发渠道数量、下载量、新增量、活跃度等情况，为监管部门掌握行业动态和发展规律提供基础信息。