大陸國家安全部警惕 境外SDK收集數據恐是間諜竊密

大陸國家安全部警惕境外SDK背後數據間諜竊密。（示意圖／達志影像）

大陸官方「國家安全部」微信公號27日消息，大陸國家安全機關近年來工作發現，境外一些別有用心的組織和人員，正在通過SDK蒐集中國大陸使用者數據和個人資訊，給大陸國家安全造成了一定風險隱患。

SDK是Software Development Kit縮寫，即軟體開發套件，類型多種多樣。如果把開發軟體系統比作蓋房子，那隻需從不同供應商選擇不同功能模組拼裝即可，不需從砌磚壘牆做起，極大提高軟體發展效率。

大陸國安部稱，SDK以多樣化、易用性和靈活性等優勢成爲移動供應產業鏈最重要服務之一，同時帶來諸多數據安全問題：

過度搜集使用者數據。有些SDK會蒐集與提供服務無關的個人資訊，或強制申請非必要的使用權限，比如獲取地理位置、通話記錄、相冊照片等資訊以及拍照、錄音等功能。當SDK的使用者覆蓋量達到一定規模時，可以通過蒐集的大量數據，對不同使用者羣體進行畫像側寫，從而分析出潛在的有用資訊，比如同事關係、單位位置、行爲習慣等。一些境外SDK服務商，通過向開發者提供免費服務，甚至向開發者付費等方式來獲取數據。據相關網站披露，一款在美國擁有5萬日活躍使用者的應用程式，其開發者通過使用某SDK，每月可以獲得1500美元收入。作爲回報，該SDK服務商可從這款應用程式中搜集使用者的位置數據。

境外情報機構將SDK作爲蒐集數據的重要管道。據報導，美國特種作戰司令部曾向美國SDK服務商Anomaly Six購置了「商業遙測數據來源」的訪問服務，而該服務商曾自稱將SDK軟體植入全球超過500款應用中，可以監控全球大約30億部手機的位置資訊。2022年4月，有關媒體曝光巴拿馬一家公司通過向世界各地的應用程式開發人員付費的方式，將其SDK代碼整合到應用程式中，秘密地從數百萬臺移動設備上搜集數據，而該公司與爲美國情報機構提供網路情報蒐集等服務的國防承包商關係密切。

如何消除SDK背後的數據風險？據大陸國內權威機構掌握，截至2022年12月，中國大陸10萬個龍頭應用中，共檢測出2.3萬餘例樣本使用境外SDK，使用境外SDK應用的境內終端約有3.8億臺。

大陸國安部分析因應之道指出，從SDK申請蒐集使用者資訊佔比而言：

應用程式開發企業：應儘量選擇接入經過備案認證的SDK，引入境外SDK前應做好安全檢測和風險評估，深入瞭解SDK的隱私政策，並利用SDK demo以及APP測試環境對SDK聲明內容進行一致性比對，並持續監測SDK是否有異常行爲。

個人用戶：個人使用者在使用手機應用程式時，要增強個人資訊保護意識及安全使用技能，要選擇安全可靠的管道下載使用應用程式，不安裝來路不明的應用，不盲目通過敏感許可權的申請。特別是發現SDK申請與應用功能無關的許可權時，需要保持高度警惕。