大量SDK存在风险漏洞，移动应用安全如何保证？

据爱加密移动应用大数据监管平台数据统计，有超过 60%的SDK含有多种漏洞， 且由于SDK被广泛使用到大量的App中，造成漏洞的影响范围非常大。App运营者为了拓宽自身的业务范围，提高自身的技术能力；或为了节约开发成本、提高工作效率，通常都会使用多种第三方的SDK。小众化的第三方SDK开发往往侧重于功能性的完善，而在安全性方面投入较少，从而导致App使用第三方SDK时会发生许多安全问题。

平台首页

SDK普遍存在隐瞒收集用户个人信息的行为，App对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围， 利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备等个人信息， 并向远程服务器甚至境外服务器进行回传。由于目前SDK市场缺乏监管，其安全性很难保证。

爱加密持续关注我国移动应用安全问题，通过对平台大数据中心搜集的近千款Android SDK进行分析和检测，并选择了市场占有率排名前50的SDK进行个人隐私信息检测和安全风险监测， 存在问题的SDK有22款。主要存在 SDK违规分类、个人隐私权限违规、危险行为、境外传输、安全风险漏洞、推送类SDK超范围采集等 安全风险问题，具体如下：

（1）SDK违规分类，经过爱加密技术人员的分析，22款SDK按照违规分类，有13款SDK存在超范围采集，有9款SDK存在权限违规，9款SDK存在高危风险漏洞。

（2）个人隐私权限违规，22款SDK累计申请268项权限，累计 申请敏感权限78项 ，其中有1款SDK申请6项敏感权限，2款SDK申请5项敏感权限。

（3）危险行为，检测出3款SDK存在危险行为， 一款分享类SDK获取了5次IMEI信息和IMSI信息； 一款统计类SDK获取了5次IMEI信息和3次IMSI信息； 一款语音类SDK启用了开始录音和获取IMEI信息。

（4）境外传输，检测出1款推送类SDK存在境外传输行为，向“103.7.30.94”传输信息，该ip地址经查归属地为中国香港。

（5）安全风险漏洞，22款SDK，有17款检测出存在安全漏洞，其中9款存在高危风险漏洞，累计检测出78条安全风险漏洞， 15条高危风险漏洞。

（6）推送类SDK超范围采集，主流厂商的推送SDK，均不能收集用户的位置信息。 而这22款主流SDK中，有三款推送SDK获取了位置权限。

如此可以看出大量App开发企业无视法律法规，在用户使用时根本不提供隐私条款，部分App即使有隐私条款，也未清晰的将第三方服务所使用的权限、收集的个人信息进行明示，第三方SDK也亟待规范。大量App存在过度采集信息，不是他们提供服务时应获取的信息，以及大量App在收集和使用用户个人信息时缺乏明示，且 未经用户确认等情况。 越权收集使用、随意操作窃取现象非常突出。

网络安全法规定网络运营者不得泄露、篡改、毁损其收集的个人信息； 网络运营者应当采取安全措施，确保其收集的个人信息安全。 此外需引起关注的是，除被曝光的信息安全事件之外，还有较多的SDK仍存在隐蔽窃取用户信息的行为。 因此作为App开发企业，除了提高安全意识、规范自身行为以外，还应对自己所提供的App负责，避免因SDK的恶意行为而受到牵连，避免不法分子利用自己的App做保护套，干着违法的勾当。 因此SDK的安全问题将成为今年乃至今后很长一段时间，政府相关部门及爱加密护航移动应用安全的首要任务。