安天移动安全风险应用检测预警平台统计发现,目前,我国80%以上App集成了第三方SDK,平均每个App集成数量近20款。中国信息通信研究院与腾讯公司联合发布的《软件开发包(SDK)安全研究报告(2021年)》中提到,被100款以上App所集成的第三方SDK已超3万款。 何
为SDK?《TC260-PG-20205A移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》中将其定义为,辅助开发某一类软件的相关文档、范例和工具的集合;第三方SDK则指由第三方服务商或开发者提供工具包。“就像一家工厂在制造电视或汽车时,为实现更好的性能,从外界购买一些具有特定功能的零件组装在产品里。”一家资讯类平台的工程师田强这样打比方。
安天移动安全近日发布的《移动互联网应用供应链(SDK)行为安全性现状研究报告》中提到,SDK恶意行为包括流量劫持、隐私窃取、静默下载安装、恶意广告、远程控制等;SDK风险行为包括违规收集个人信息、云端控制SDK、欺骗误导用户下载App、伪装或匿名推送消息等。
第三方SDK嵌入App时,也嵌入了风险元素。对此,从事出行类平台研发工作的客户端工程师陆阳认为,一线工程师不能只关注软件开发业务,应该对所使用的SDK基本信息有清晰、必要的认识,并与安全团队配合,选出既符合业务诉求又能够保证安全性的SDK。
点击右上角微信好友
朋友圈
点击浏览器下方“”分享微信好友Safari浏览器请点击“
”按钮
点击右上角QQ
点击浏览器下方“”分享QQ好友Safari浏览器请点击“
”按钮