國家安全部提示�����,SDK(軟件開發(fā)工具包)是一套為特定軟件框架���、硬件平臺或操作系統(tǒng)提供的開發(fā)工具集合����,它就像一個“百寶箱”,貼心地為軟件開發(fā)者提供構(gòu)建應(yīng)用程序所需要的半成品�、工具和說明,極大地提升了工作效率�。然而,便利的SDK,也可能潛藏失泄密風險�。境外組織可能通過將惡意SDK嵌入到各類應(yīng)用軟件中,非法收集敏感信息����,并遠程傳輸至境外服務(wù)器。這種行為不僅嚴重侵犯公民個人隱私��,更可能導致用戶畫像�����、行業(yè)數(shù)據(jù)等關(guān)鍵信息被境外掌控�����,進而對我國家安全構(gòu)成現(xiàn)實威脅����。
SDK的潛在威脅
——來路難尋的隱蔽“后門”。境外黑客組織或敵對勢力可能利用第三方SDK的安全漏洞或惡意代碼進行攻擊�,更有甚者會直接利用SDK開發(fā)預(yù)置后門,或利用未公開的漏洞��,對使用該SDK開發(fā)的應(yīng)用程序進行深度滲透����。用戶一旦安裝了此類應(yīng)用�,攻擊者便可遠程操控其設(shè)備�����,竊取更多重要敏感信息�。
——侵犯權(quán)限的私自搜掠�。有關(guān)單位通報顯示,部分SDK存在違規(guī)收集使用個人信息行為����,這些信息可能被用于精準用戶畫像與分析,進而推斷出更多深層信息���。個別境外SDK服務(wù)商甚至通過付費方式誘使開發(fā)者使用其服務(wù)�,形成隱蔽的數(shù)據(jù)獲取鏈條�����,從中牟取非法利益��。
——積羽沉舟的內(nèi)生隱患��。隨著使用第三方SDK開發(fā)的應(yīng)用軟件數(shù)量增加,其潛在攻擊面呈幾何級擴大���,安全風險進一步提升����。如某個通用SDK存在漏洞時�,所有集成該組件的應(yīng)用都將面臨連鎖式安全威脅,最終擴散至整個移動生態(tài)���,構(gòu)成系統(tǒng)性風險���。
堵住SDK“木馬”竊密通道
——個人用戶。廣大個人用戶應(yīng)從官方應(yīng)用商店等正規(guī)渠道下載安裝應(yīng)用����,切勿點擊來歷不明的廣告鏈接或隨意安裝彈窗推送的軟件。安裝后��,應(yīng)審慎管理應(yīng)用權(quán)限����,盡量關(guān)閉與應(yīng)用核心服務(wù)無關(guān)的訪問權(quán)限,特別是涉及位置���、通訊錄�����、相冊等敏感信息或資費功能��,避免因權(quán)限過度開放導致個人信息泄露與財產(chǎn)損失��。
——應(yīng)用程序開發(fā)企業(yè)�。應(yīng)建立SDK全生命周期安全管理機制,優(yōu)先選用備案SDK���,嚴格評估功能獨立性,避免無關(guān)模塊捆綁����,在使用過程中應(yīng)持續(xù)監(jiān)測、定期更新��、及時修補漏洞�。對集成的SDK進行來源確認和完整性校驗,并持續(xù)監(jiān)測SDK是否有異常行為�����。
——App平臺供應(yīng)商。應(yīng)向大眾準確告知SDK接入情況����、權(quán)限范圍、隱私政策等情況���。運營期內(nèi)�����,應(yīng)主動提示運營者及時改進不符合要求的行為��。合作結(jié)束后��,供應(yīng)商應(yīng)督促本應(yīng)用軟件的SDK運營者退出授權(quán)�����,依法刪除或匿名化處理用戶數(shù)據(jù)��。
國家安全機關(guān)提示
廣大公民和組織應(yīng)提高警惕���,阻斷惡意SDK軟件的非法入侵。如發(fā)現(xiàn)有違法使用SDK從事危害國家安全活動的問題線索�,可通過12339國家安全機關(guān)舉報受理電話��、網(wǎng)絡(luò)舉報平臺(www.12339.gov.cn)����、國家安全部微信公眾號舉報受理渠道或者直接向當?shù)貒野踩珯C關(guān)進行舉報��。
(責任編輯:梁艷)
晉公網(wǎng)安備 14090202000008號 
