國家安全部提示,SDK(軟件開發(fā)工具包)是一套為特定軟件框架����、硬件平臺或操作系統(tǒng)提供的開發(fā)工具集合�,它就像一個“百寶箱”����,貼心地為軟件開發(fā)者提供構建應用程序所需要的半成品���、工具和說明�,極大地提升了工作效率�����。然而���,便利的SDK�,也可能潛藏失泄密風險�。境外組織可能通過將惡意SDK嵌入到各類應用軟件中,非法收集敏感信息�����,并遠程傳輸至境外服務器�����。這種行為不僅嚴重侵犯公民個人隱私���,更可能導致用戶畫像�、行業(yè)數(shù)據(jù)等關鍵信息被境外掌控����,進而對我國家安全構成現(xiàn)實威脅。
SDK的潛在威脅
——來路難尋的隱蔽“后門”����。境外黑客組織或敵對勢力可能利用第三方SDK的安全漏洞或惡意代碼進行攻擊,更有甚者會直接利用SDK開發(fā)預置后門�����,或利用未公開的漏洞�,對使用該SDK開發(fā)的應用程序進行深度滲透。用戶一旦安裝了此類應用�����,攻擊者便可遠程操控其設備����,竊取更多重要敏感信息����。
——侵犯權限的私自搜掠�����。有關單位通報顯示�����,部分SDK存在違規(guī)收集使用個人信息行為���,這些信息可能被用于精準用戶畫像與分析�,進而推斷出更多深層信息�����。個別境外SDK服務商甚至通過付費方式誘使開發(fā)者使用其服務�����,形成隱蔽的數(shù)據(jù)獲取鏈條�����,從中牟取非法利益�。
——積羽沉舟的內生隱患。隨著使用第三方SDK開發(fā)的應用軟件數(shù)量增加����,其潛在攻擊面呈幾何級擴大,安全風險進一步提升�。如某個通用SDK存在漏洞時,所有集成該組件的應用都將面臨連鎖式安全威脅����,最終擴散至整個移動生態(tài),構成系統(tǒng)性風險�。
堵住SDK“木馬”竊密通道
——個人用戶。廣大個人用戶應從官方應用商店等正規(guī)渠道下載安裝應用���,切勿點擊來歷不明的廣告鏈接或隨意安裝彈窗推送的軟件���。安裝后,應審慎管理應用權限���,盡量關閉與應用核心服務無關的訪問權限�����,特別是涉及位置���、通訊錄���、相冊等敏感信息或資費功能,避免因權限過度開放導致個人信息泄露與財產損失���。
——應用程序開發(fā)企業(yè)�����。應建立SDK全生命周期安全管理機制����,優(yōu)先選用備案SDK����,嚴格評估功能獨立性,避免無關模塊捆綁����,在使用過程中應持續(xù)監(jiān)測、定期更新、及時修補漏洞����。對集成的SDK進行來源確認和完整性校驗,并持續(xù)監(jiān)測SDK是否有異常行為�����。
——App平臺供應商�。應向大眾準確告知SDK接入情況�、權限范圍、隱私政策等情況����。運營期內,應主動提示運營者及時改進不符合要求的行為���。合作結束后�,供應商應督促本應用軟件的SDK運營者退出授權���,依法刪除或匿名化處理用戶數(shù)據(jù)���。
國家安全機關提示
廣大公民和組織應提高警惕,阻斷惡意SDK軟件的非法入侵。如發(fā)現(xiàn)有違法使用SDK從事危害國家安全活動的問題線索����,可通過12339國家安全機關舉報受理電話、網(wǎng)絡舉報平臺(www.12339.gov.cn)�����、國家安全部微信公眾號舉報受理渠道或者直接向當?shù)貒野踩珯C關進行舉報�����。
(責任編輯:梁艷)
晉公網(wǎng)安備 14090202000008號 
