《中华人民共和国网络安全法》第十二条明文规定，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

 

01 SDK 详情概述

（一）SDK概况分析

（1）移动应用嵌入SDK情况分析

 

截止当前，爱加密移动应用安全大数据平台持续监控境内境外SDK分发平台如：GitHub、MVN REPOSITORY、 Bitbucket、asonatype等，收录SDK共计2万+款。有351万+款移动应用嵌入了SDK。下图为嵌入量较高的前10款SDK：（SDK是「 Software Development Kit 」的缩写，即「软件开发工具包」，它是协助软件开发的相关二进制文件、文档、范例和工具的集合，简称 SDK 。）

应用中嵌入SDK top10

（2）SDK类型分布情况

 

从SDK类型来看，框架类SDK最多，占SDK总量的40.37%，位居第一；其次是实时音视频类SDK，占应用总量的9.16%，位居第二；广告类SDK数量占总量的8.05%，位居第三。下图为排名top10的SDK分类分布情况：

SDK类型占比top10统计

 

（3）SDK全国区域分布情况

 

从区域来看，北京市SDK数量位居第一，占总量的27.94%；其次是广东省，占总量的23.95%；江苏省位列第三，占总量的21.36%。以下是SDK地域分布TOP10：

 

SDK全国地域分布TOP10

（4）开发者发布SDK排行top10

 

通过对SDK的开发者进行分析发现，发布SDK最多的是华为软件技术有限公司；其次是深圳市腾讯计算机系统有限公司；排名第三的是北京百度网讯科技有限公司。以下是SDK开发者TOP10排行情况：

 

SDK开发者开发TOP10

（二）SDK安全检测概况

 

（1）存在各等级风险漏洞情况

 

爱加密移动应用安全大数据平台利用安全检测引擎，对SDK进行107项漏洞扫描发现，93.48%以上的SDK存在高危漏洞风险。存在各等级风险漏洞情况如下：

 

各等级风险漏洞情况

（2） 各高危漏洞类型SDK排行

 

已完成检测的SDK中，存在的Java代码反编译风险数量最多，占检测总数的24.44%；其次是H5文件泄露风险，占检测总数的23.86%；排在第三位的是数据库注入漏洞，占检测总数的23.75%。详情如下：

 

高危漏洞类型排行

（3） 各类型SDK存在高危漏洞风险排行

 

从SDK类型来看，存在高危漏洞风险的框架类SDK数量占高危SDK总量的70.78%，位居第一；安全风控类SDK数量占比为6.68%，位列第二；位列第三的是推送类SDK，占比为6.05%。SDK若存在高危漏洞较多，一旦受到攻击极易导致用户隐私泄露或直接财产损失，需进一步关注其安全加固和数据保护状况，避免因不当收集和使用数据或遭受网络攻击对社会公众及企业自身带来影响。

 

各类型SDK存在高危漏洞风险排行

（4）未进行技术防护的SDK分析

 

目前收录的SDK，大多数使用http传输信息，导致SDK之间能够通过通讯相互监听窃取信息；SDK 在本地存储的数据，也有很多没有加密，同一个App 接入的 SDK 都有直接访问权限，存在信息泄露的风险。通过爱加密移动应用安全大数据平台检测发现，未采取技术安全保护措施的SDK占总量的58.05%。

（三）SDK个人信息收集情况

（1）SDK申请权限分析

 

爱加密对部分SDK的权限申请进行了检测，从检测结果来看，申请“写入外部存储”的SDK数量最多，占比71.44%；其次是“读取外部存储”的SDK占比69.02%，位列第二；位列第三的是“读写系统设置”的SDK，占比为53.40%。

SDK申请权限top10

从已检测的App中发现部分SDK存在异常行为以及展示异常的内容。如SDK分别被主流App和小众App嵌入，在用户使用时，SDK在小众App中有读取手机应用列表行为，而在主流App中，SDK没有这种行为产生；同样，在主流App中展示的广告很正常，但是在小众App中存在部分擦边球的广告。

（2）SDK敏感行为分析

 

从SDK的敏感行为来进行分析，在已检测的SDK中，有87.41%的SDK有敏感行为。其中，最多的是“打开文件读取流”，占比为64.88%；排名第二的是“打开文件写入流”，占比为58.45%；排名第三的是“创建目录”，占比为54.58%。详情如下：

SDK敏感行为top10

 

（3）SDK境外传输分析

 

爱加密检测到有部分SDK关联境外IP或者域名，数据流向多个国家和地区。具体来看，排名第一的目的地是美国，占比58.33%；排名第二的是新加坡和中国香港，占比33.33%。

 

数据跨境传输目的地

（四）SDK通报情况概述

 

（1）近年来监管机构对SDK的通报问题分析

 

近年来总计通报SDK 33款，爱加密针对通报的SDK进行了个人信息违规类型统计，结果显示，45.45%的SDK存在“收集个人信息明示、告知不到位”的情况；39.39%的SDK存在“SDK违规收集个人信息”的情况。具体违规详情如下：

SDK的通报问题分析

 

（2）通报案例

 

 

02 SDK风险案例

近期爱加密研究人员在某插件市场官网排查违法SDK,通过加入SDK详情页面留下的QQ交流群，跟卖家交流售卖的SDK功能，了解到此SDK主要功能为私自获取位置定位、音视频、相册、通讯录联系人及手机号、短信和通话记录上传服务器。此SDK为付费SDK，随后以购买SDK为由向卖家获取SDK的demo。

取证流程：

1、爱加密技术人员对嵌入此SDK的App进行研究，首先下载App打开后会自动弹出所需要位置信息、通话记录、存储空间、短信的权限，如果点击“取消”会一直重复此请求权限，只有点击确定才会进入主页面。

2、通过对App在两台手机上测试功能，随即安装在真机环境和模拟器环境中，真机环境：事先准备好相册照片、通讯录、通话记录、打开App并同意获取权限后联系卖家是否获取到信息，随后卖家发来获取到信息的截图。

经过发来的位置定位截图发现相差距离较小，该App确实有获取位置信息的功能，位置信息在打开App权限时瞬间传到服务器。

 

图示：图左为卖家获取到定位截图，图右为高德地图自己手机位置的定位截图

卖家发过来短信截图，我们发现截图里面的短信内容信息跟真机里面的短信内容相同，短信的时间也是相同的。

 

图一、二为卖家获取到真机相册的截图

 

图三为手机真机短信内容截图

3.模拟器上面进行测试：App通过安装在模拟器上运行，允许获取到位置信息、通讯录、短信、通话记录、存储空间权限等，打开网络流量抓包工具对App的网络传输数据进行截取，通过抓包发现App把位置信息、相册视频、通讯记录、通讯录、短信等信息传输到服务器。

该图获取通讯录信息上传到服务器端数据截图

对违法SDK 和嵌入违法SDK的demo App进行深度检测后，发现其违背了《中华人民共和国网络安全法》第十二条，存在违规获取个人信息的安全风险。

 

03 SDK安全发展趋势

 

SDK广泛应用在移动互联网应用设计的开发阶段。SDK 通过 App 这一载体渗透到用户日常生产和生活的方方面面，但在提升 App 运营开发者效率和用户体验时，存在自身安全漏洞、隐瞒收集个人信息等安全风险。且SDK分发不规范，应用开发者在接入SDK时缺乏安全意识，并未对SDK进行安全检测及风险评估。

 

面对SDK存在的安全风险，我们该如何防范呢？

 

一、监管机构可以压实SDK分发平台责任，规范SDK分发平台。

 

1、督促SDK分发平台建立完善SDK上架审核工作机制，严格落实对新上架的SDK功能的测试和审核管理，杜绝不良SDK在分发平台售卖。

2、加强对SDK开发者身份审核，对开发者上传的信息进行核实。事前审核SDK开发者上传信息并核实登记；事中通过人工巡查、动态监测等方式，及时发现违规使用；事后对识别出的不良SDK进行证据固定和合理处置。

3、公开明示SDK名称、开发者、版本号、主要功能、使用说明等基本信息，以及个人信息处理规则。

2023年2月工信部也印发通知，部署进一步提升移动互联网应用服务能力。共提出 26 条措施，其中多条涉及到 SDK 监管。要求落实 App 开发运营者主体责任：加强软件开发工具（SDK）使用管理。使用 SDK 前对其进行个人信息保护能力评估，通过合同等形式明确约定各方权利和义务，确保个人信息处理依法合规。集中展示并及时更新嵌入的 SDK 名称、功能及其处理个人信息的规则。共同处理用户个人信息，侵害用户权益造成损害的，依法承担相应责任。

 

二、开发企业需要严格谨慎选择接入SDK

 

1、应接入经过备案认证的SDK，接入头部企业厂商的SDK。

2、引入SDK前应做安全检测和风险评估，详细阅读了解SDK的隐私政策，并利用SDK demo以及App测试环境对SDK声明进行比对内容是否一致。

3、持续对SDK行为监测。

 

三、用户在使用App时，要关注里面的第三方服务使用第三方服务时，也应当提高个人信息保护意识及安全使用技能。

做到下载使用应用，要选择安全可靠的应用下载渠道，不安装不明来路的应用，不盲目点击同意敏感的权限使用，不轻易接收安装来自微信、QQ等社交媒体的应用，不轻易点击短信中的链接，尽量使用常用的知名的应用。在使用应用中若发现SDK申请个人隐私相关的敏感权限时，特别是与应用功能无关的权限，需要保持警惕。