中国官方从各方面紧盯国安危机,中国国安局今发文称,境外组织可能通过恶意SDK非法收集敏感资讯,不仅严重侵犯公民个人隐私,也对国家安全构成现实威胁,要求中国民众及相关单位应採取相关防範措施。此前,美国非营利独立监视组织曾表露,中国相关厂商正暗中蒐集个人与可能高度敏感的资讯。
SDK(软体开发套件)是一套为特定软体框架、硬体平台或操纵系统提供的开发工具集合,为软体开发者提供构建应用程序所需要的半成品、工具和说明。
中国国安局今发布文章称,境外组织可能通过将恶意SDK嵌进到各类应用软体中,非法收集敏感资讯,远程传输至境外服务器。这种行为不仅严重侵犯公民个人隐私,导致用户画像、行业数据等关键资讯被境外掌控,进而对国家安全构成现实威胁。
文章指出,境外骇客组织或敌对势力可能利用第三方SDK的安全漏洞或恶意代码进行攻击,更有甚者会直接利用SDK开发预置后门,或利用未公然的漏洞,对使用该SDK开发的应用程序进行深度渗透。用户一旦安装了此类应用,攻击者便可远程操控其设备,窃取更多重要敏感资讯。
文中要求,个人用户应从官方应用商店等正规通路下载安装应用,应用程序开发企业应建立SDK全生命周期安全治理机制,APP平台供给商应向大众一元一分血战麻将群準确告知SDK接进情况、权限範围、隐私政策等情况。广至公民和组织应进步警惕,阻中断恶意SDK软件的非法进侵。
中国国安局的这篇文章并没有提出具体案例,但中国工信部等部分在今年11月发布公告,对APP、SDK违法违规收集使用个人资讯等题目进行治理。经组织第三方检测机构进行抽查,共发现39款APP及SDK存在侵害用户权益行为,揭露的名单上不乏来自广州、广西、深圳等中国企业。
另一方面,美国非营利独立监视组织IDAC曾指出,设立于中国的行动开发者服务供给商及行动大数据解决方案平台Jiguang(极光),其SDK安装量接近3,700万次,正暗中蒐集个人与可能高度敏感的资讯,包括精确定位资料;IDAC也提到,美国一款App产品「Premom」採用了另一款中国的SDK,该SDK正在蒐集高度敏感的使用者资料,并在中国贩售这些资料。
