EN

企业动态

当前位置:首页 - 企业动态 - 企业新闻

315晚会曝光SDK风险!BCTC为您保障App安全

发布日期:2020-07-17

背景介绍


2020年,疫情使各种服务的数字化进程进一步加快,通过App等接触用户、服务用户成为最畅通的渠道。然而,App也成为部分机构违规获得用户信息、侵犯消费者权益的重灾区。7月16日,“315晚会”带着保护消费者权益的使命到来,在诸多曝光的侵害个人权益的事件中,手机超限违规收集个人信息情况成为“爆点”。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。

SDK 介绍

SDK 是 Software Development Kit 的缩写,即“软件开发工具包”,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。随着移动互联网的快速迭代发展,越来越多的服务提供商选择将其服务封装成 SDK 供开发者使用。根据相关机构数据显示,金融借贷类平均使用的SDK数量最多,高达到21.5个;而在所有的SDK中,有超过 60%的 SDK 含有多种漏洞(数据来源于互联网)。因为这些 SDK 被广泛使用到大量 App 中,漏洞造成的影响范围极广。


SDK 风险分析

SDK的嵌入对于开发者来说,虽然可以提升效率、降低成本,但是第三方 SDK 常存在安全漏洞、隐蔽收集个人信息、恶意程序等安全问题,进而给嵌入 SDK 的App 带来相应的安全隐患。

近年来,SDK发生过多次风险事件:



2017年6月就披露过FFmpeg漏洞,当时主流的视频应用几乎都采用了该开源框架,漏洞影响面极大。



2017年8月也曝光了一家名为Igexin的广告SDK,SDK借着合法应用的掩护上架应用市场,在应用运行过程中会连接Igexin的服务器,下载并动态加载执行恶意代码,收集上报用户设备上的各种隐私数据,包括设备信息、通话日志记录等。



2018年4月,一个恶意推送信息的软件开发工具包“寄生推”被捕获,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。

从上述介绍的SDK风险分析以及统计来看,SDK的出现确实可以提高开发的便捷性、降低不必要的成本,但也存在更多的风险问题。一旦问题发生,无论是SDK本身架构的安全漏洞,还是SDK自身的“坏主意”,对宿主APP来说都会带来很大的安全和业务影响。



BCTC 安全解决方案

为保障SDK的安全使用,国家金融IC卡安全检测中心(银行卡检测中心,简称BCTC)通过安全检测、风险监测全方位保护消费者信息安全,为各机构提供使用SDK的安全解决方案。建议各机构在使用SDK时,把好安全关,根据《信息安全技术移动互联网应用(App)收集个人信息基本规范》(征求意见稿)、《App违法违规收集使用个人信息行为认定方法》以及GB/T 35273-2020《信息安全技术 个人信息安全规范》等检查SDK是否满足相关要求,保护消费者利益不受侵犯。

BCTC提供SDK安全检测服务

BCTC通过代码漏洞扫描、数据流监控以及个人信息采集监控等方式,帮助您快速完成SDK安全验证。

(一)代码漏洞扫描。通过自动化的漏洞扫描,可以发现SDK中是否具有安全编码漏洞。一旦匹配漏洞规则后,报告可精准直接定位该漏洞的位置。针对出现的风险漏洞,我中心可提供相应的安全解决方案。

(二)数据流监控。通过不间断的数据流监控,可以监测SDK对外出口的所有流量,进而判断是否存在私有服务器、SDK是否违规上送数据等风险问题。针对监测的“问题流量”,可直接定位SDK中的恶意代码。

(三)个人信息采集监控。通过对权限调用的监控,传输数据的分析,可以监测SDK采集了哪些信息,上送了哪些信息,进而判断SDK是否存在过度采集、静默采集以及频繁采集等风险问题。针对监测的违法违规采集行为,可定位恶意的采集代码。


App安全风险监测

BCTC建设金融科技应用风险监控平台,通过SDK识别、应用市场监测、金融备案平台联动等方式,帮助您持续监测App中SDK的安全态势。


上一篇:BCTC提供多方安全计算(MPC)金融级安全测评 下一篇:BCTC成为上海市集成电路行业协会会员