警惕境外SDK数据窃密风险及防范措施

admin 2023年10月30日00:29:02评论23 views字数 3592阅读11分58秒阅读模式

01



背景概述

10月27日6点59分,国家安全部微信公众号发文《警惕!一些境外SDK背后的“数据间谍”窃密》。文章讲述,近年来,国家安全机关工作发现,境外一些别有用心的组织和人员,正在通过SDK搜集我用户数据和个人信息,给我国家安全造成了一定风险隐患。

软件开发工具包(Software Development Kit,简称SDK)作为第三方代码库,被广泛应用于移动应用开发中。开发者可以通过集成SDK,快速实现应用统计、Crash分析、社交分享、支付等功能,从而缩短开发周期,降低开发成本。但是,SDK作为第三方代码,一旦应用不当,也会带来隐私数据泄露的安全风险。

近年来,境外一些组织目的不纯,通过开发SDK的方式,隐秘地获取国内用户隐私数据。他们的SDK疑似具有数据窃取功能,一旦被应用集成,就可能成为“数据间谍”,获取用户通讯录、通话记录、地理位置等敏感信息,甚至能够自动开启摄像头、麦克风,进行非法监控。这无疑对我国国家安全构成了一定的风险隐患。

02



什么是SDK?

SDK是英文Software Development Kit的缩写,即软件开发工具包,通俗地来讲,一个应用程序好比一辆汽车,那么SDK就是其中的一个零件,不同的零件由不同的供应商提供,现代软件开发也一样。下面列举一些SDK加深理解,地理位置SDK、杀毒引擎SDK、语音识别SDK、消息推送SDK等。SDK就是一段程序,他可以在权限范围内获取用户隐私数据,也可以绕过系统声明权限获取用户隐私数据,只要是代码就会有漏洞,没有坚不可摧的城堡。

SDK作为第三方代码库,包含了辅助应用开发的各类工具、代码和文档。它一般包含开发包、示例代码、文档说明等内容。通过引入SDK,开发者可以快速使用其封装好的功能,而不需要从零开始开发。

比如地理位置SDK,封装了获取用户位置、绘制路线等功能。开发者集成该SDK后,不需要自己实现复杂的地理位置算法,就可以在App中使用地理位置功能;再如支付SDK,集成之后,App可以快速接入微信支付、支付宝支付;再如消息推送SDK,通过接入每日互动的SDK,App可以快速接入全景推送通道。其他常见的SDK还包括统计分析SDK、推送SDK、登录SDK等。

SDK的出现极大地提高了应用开发的效率,降低了开发成本。但是,它也存在被滥用的风险。一些不法分子可能通过开发SDK的方式,隐藏获取用户信息的代码,达到盗取用户隐私数据的目的。

03



SDK可获取的数据

1. 用户安装的APP程序

可以获取用户手机上安装的APP程序所有信息,比如APP名称、包名等信息。通过获取用户手机上安装的App信息,可以了解用户的软件使用习惯,判断出他的潜在兴趣爱好。某些App只在特定群体中流行,那么用户手机上安装该App,就表明他极有可能属于这个群体。比如安装了母婴类App,则该用户很可能是育儿家长。

2. 手机通讯录

可以获取用户手机上的保存的所有联系人姓名、电话号码等信息。通讯录中保存的联系人信息,能反映一个人的社交圈子。获取通讯录,可以分析出用户的家人、朋友、同事关系。配合通话记录分析,可以判断出用户的核心联系人。

3. 通话记录

可以获取用户手机上所有的通话记录,包括通话时间、通话时长、通过对象等信息。通话记录可反映一个人的社交活跃度。同时可以与通讯录关联分析,找到用户的主要联系人。若与位置信息结合,还可分析出用户的家庭和工作地点。

4. 手机IMSI

可以获取手机卡IMSI信息,可以唯一标识用户。IMSI即国际移动用户识别码,它与手机卡紧密绑定,可以唯一标识一张SIM卡以及其用户。因此获取IMSI等同于锁定了一个用户。

5. 手机IMEI

可以获取手机IMEI信息,可以唯一标识手机。IMEI即国际移动设备识别码,它与手机设备绑定,可以唯一标识一台手机。获取IMEI可以跟踪一个用户的设备。即使更换SIM卡,只要还使用同一台设备,这个用户仍可以被识别出来。

6. 手机MAC地址

可以获取手机MAC地址,用于标识手机无线连接情况。MAC地址标识了一台网络设备,可以获知用户正在使用的网络接入点信息。关联分析MAC地址能推断出用户的活动地点和活动规律。

7. 手机号

可以获取手机号码信息。手机号码是用户最基本的标识信息之一,一旦泄露,将直接暴露用户的隐私。获取用户手机号码,等同于锁定了一个用户的身份信息。

8. 手机内存和SD卡数据

可以获取手机存储中的照片、视频等文件。手机存储空间中的文件,包含大量用户隐私数据。获取照片和视频等文件,可分析用户的兴趣爱好、身边人信息等。一些照片甚至包含地理标记信息,可推断用户的活动轨迹。

9. 地理位置

可以获取用户地理位置信息。地理位置信息能直接反映一个人的活动轨迹。收集用户每次开启App时的地点信息,就可精确推断出他的居住地、工作地、经常活动的场所等。某些SDK甚至可每隔几分钟收集一次位置信息,进行实时跟踪。

10. 网络连接情况

可以获取用户连接3G/4G/5G的信号强度、基站连接情况;可以获取用户连接WIFI网络的信号强度、无线路由器连接情况。网络连接信息能推断用户所处的地理环境和活动轨迹。3G/4G基站信息能定位用户的大范围位置;WIFI信息能定位到更精确的室内位置。收集用户每次打开App时的网络信息,就可判断他的活动地点。

11. 手机录音

可以自动打开录音权限,获取录音数据。未经用户允许,自动录音是非法的。但某些SDK可能偷偷启用录音,获取用户对话内容。这严重侵犯隐私,甚至可用于非法监听。

12. 手机拍照

可以自动打开手机拍照功能,获取拍照数据。同样,自动偷拍也是非法的。但个别SDK可能会不经允许打开摄像头,获取用户隐私图片。这可用于监控用户环境、行为等。

13. 手机截屏

可以自动打开手机截屏,获取截屏数据。自动截屏同样可获取隐私数据,了解用户的手机使用情况和正在查看的内容。个别SDK滥用这一功能,可持续不断地收集用户数据。

可见,SDK如果用心开发,可以只做其应提供的功能,不触碰用户隐私。但一些不法SDK可能滥用权限,窃取各种用户数据,其中一些行为还涉嫌违法。这对用户隐私安全造成了很大的风险隐患。

04



数据如何使用

收集到这些数据后,不法分子或国外间谍机关基于大数据平台,利用碰撞分析、关联分析、基线分析、机器学习、知识图谱等分析技术,以达到更可怕的目的,下面列举一些应用方向:

1. 用户画像

通过搜集到用户安装的APP信息、通讯录、位置轨迹等信息,可以对用户的基本信息进行刻画,对用户的行为进行刻画,对用户关系网进行刻画,对用户的兴趣爱好进行刻画,对用户的生活习惯进行刻画,对身体健康情况进行刻画,形成完善个人虚拟身份数据,网络数据也可以真实反应一个人现实生活中的工作和生活情况。拼合这些数据碎片,就可精确画像一个用户的姓名、年龄、性别、职业、婚姻状况、家庭成员、兴趣爱好、性格习惯等。这些画像信息可用于个性化推销,但也可能被用作诈骗等非法用途。

2. 关联分析/伴随

通过汇聚所有用户的手机数据进行大数据分析,可以形成不同的关联数据,比如组织关系、亲戚关系、朋友关系,挖掘出潜在的关系网。例如,通过网络连接情况、地理位置信息,就可以挖掘出人员之前的关系网。对数据进行关联分析,可以发现一些用户本人并不知晓的信息。比如,分析同一地点多次出现的用户,发现他们存在某种职业/社交关系。再如,可以分析出一些从未通话的用户,其实为亲人、同事等。还可以识别出同行、同住等关系,这样的关联信息被滥用,可对个人及其关系网构成安全威胁。

05



如何防御SDK窃取数据

面对境外SDK获取数据的风险,个人用户、企业用户、应用开发者都需要提高警惕,采取措施防范数据泄露:

1. 对SDK行为进行动态分析

用户可以使用一些安全工具,对已安装的应用进行静态和动态分析,检查其是否 loading 了可疑的 SDK,并监控SDK的行为。一旦发现SDK获取隐私数据或其他可疑行为,应立即卸载该应用。

2. 加强知识产权保护和代码审查

开发者在引入第三方SDK前,必须仔细审核SDK提供方的背景与可信度,仔细阅读SDK的使用协议,审查其代码逻辑,确认其不包含恶意功能后方可集成。

3. 禁止安装来历不明的APP

用户应尽量避免从非官方渠道下载应用,避免安装来路不明的应用。从正规渠道下载应用可以降低安装恶意SDK的风险。

06



结论

SDK作为第三方工具包,能够极大地提升应用开发效率。但是也可能被不法分子和国外间谍机关利用,植入恶意代码窃取用户数据。面对这一风险,政府部门应加强监管,制定数据安全规范。应用开发者也需谨慎引入SDK,进行代码审查。用户则需要提高警惕,建立数据安全意识。只有开发者、用户和政府多方共同努力,才能构筑起数据安全屏障,守护隐私不受侵犯。

警惕境外SDK数据窃密风险及防范措施

原文始发于微信公众号(兰花豆说网络安全):警惕境外SDK数据窃密风险及防范措施

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月30日00:29:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕境外SDK数据窃密风险及防范措施https://cn-sec.com/archives/2156174.html

发表评论

匿名网友 填写信息