APP运营者為(wèi)了拓宽自身的业務(wù)范围，提高自身的技(jì )术能(néng)力；或為(wèi)了节约开发成本、提高工(gōng)作(zuò)效率，通常都会使用(yòng)多(duō)种第三方的SDK。小(xiǎo)众化的第三方SDK开发往往侧重于功能(néng)性的完善，而在安(ān)全性方面投入较少，从而导致APP使用(yòng)第三方SDK时会发生许多(duō)安(ān)全问题。

首先，SDK自身安(ān)全性令人担忧。目前，有(yǒu)超过60%的SDK含有(yǒu)多(duō)种漏洞，且由于SDK被广泛使用(yòng)到大量的APP中(zhōng)，造成漏洞的影响范围非常大。

其次，SDK普遍存在隐瞒收集用(yòng)户个人信息的行為(wèi)。APP对嵌入的第三方SDK未采取任何明示方式告知用(yòng)户SDK收集个人信息目的、方式、范围，利用(yòng)第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息，并向遠(yuǎn)程服務(wù)器甚至境外服務(wù)器进行回传。

最后，由于目前SDK市场缺乏监管，安(ān)全性很(hěn)难保证，近期通过第三方SDK隐瞒收集个人信息的安(ān)全事件不断被曝光。

爱加密持续关注我國(guó)移动应用(yòng)安(ān)全问题，全年不间断通过爱加密强大的爬虫团队从各应用(yòng)商(shāng)店(diàn)、论坛、网盘、企业官方网站获取移动应用(yòng)数据。对数据清洗和安(ān)全检测后获取移动基础资产(chǎn)数据，将基础资产(chǎn)数据存储至移动应用(yòng)大数据中(zhōng)心，為(wèi)政府和企业客户提供移动安(ān)全报告的数据支撑，协助各级政府和企业对移动应用(yòng)安(ān)全事件进行监测并协调处置，取得了显著成效。

本报告依托爱加密移动应用(yòng)大数据中(zhōng)心数据，重点对SDK使用(yòng)情况及市场占有(yǒu)率进行分(fēn)析总结，并结合移动应用(yòng)安(ān)全威胁事件处置的实践成果给出建议和防范措施。

一、SDK概况

根据爱加密大数据中(zhōng)心提供的数据，截止4月底共计收录Android应用(yòng)数据约267万条，其中(zhōng)超50%的APP都不同程度的使用(yòng)了第三方公(gōng)司提供的SDK工(gōng)具(jù)包。目前大数据中(zhōng)心已收录SDK工(gōng)具(jù)包414个，包括广告、框架、推送、统计、地图、支付、社交等类别，详见图1：

图1  SDK类别统计图

二、SDK市场占有(yǒu)率

（一）框架类SDK市场占有(yǒu)率最高

从类型上看，框架类SDK使用(yòng)范围最广，市场占有(yǒu)率42.98%；其次是广告类，市场占有(yǒu)率12.86%；第三位的是社交类SDK，市场占有(yǒu)率11.60%。详见图2：

图2  各类SDK市场占有(yǒu)率

（二）AdMob广告市场占有(yǒu)率最高

从各个SDK市场占有(yǒu)率来看，AdMob广告市场占有(yǒu)率最高，為(wèi)17.16%；其次是GSON，占有(yǒu)率為(wèi)13.44%；排在第三位的是支付宝支付SDK，市场占有(yǒu)率為(wèi)9.91%。详见图3：

图3 SDK市场占有(yǒu)率统计图

1、AdMod广告市场市场占有(yǒu)率

全國(guó)约有(yǒu)46万多(duō)款APP嵌入了这个SDK，主要集中(zhōng)在游戏类、生活服務(wù)类和工(gōng)具(jù)类软件，合计占比84.09%。详见图4：

图4  AdMod广告市场行业市场占有(yǒu)率

2、GSON市场占有(yǒu)率

全國(guó)约有(yǒu)36万款APP嵌入了这个SDK，主要集中(zhōng)在游戏类、生活服務(wù)类和媒體(tǐ)类，合计占比53.89%。详见图5：

图5 GSON行业市场占有(yǒu)率

3、支付宝支付SDK市场占有(yǒu)率

全國(guó)约有(yǒu)27万款APP嵌入了这个SDK，主要集中(zhōng)在游戏类、生活服務(wù)类和購(gòu)物(wù)类，合计占比65.51%。详见图6：

图6 支付宝支付行业市场占有(yǒu)率

4、地图类SDK中(zhōng)百度地图市场占有(yǒu)率位居第一

全國(guó)约有(yǒu)17万APP嵌入百度地图SDK，而高德(dé)地图SDK仅有(yǒu)7.9万APP嵌入了这个SDK。从这个方面来看，百度地图的市场占有(yǒu)率还是遥遥领先于高德(dé)地图的。详见图7：

图7  地图类SDK市场占有(yǒu)率

三、谨防成為(wèi)SDK窃取隐私的保护伞

3月13日，世界级安(ān)全公(gōng)司Check Point披露报告称，某科(kē)技(jì )公(gōng)司涉嫌盗窃用(yòng)户数据。报告指出，電(diàn)池医(yī)生、Wi-Fi信号增强器等12款中(zhōng)國(guó)APP存在盗取用(yòng)户通讯录数据的情况，而上述部分(fēn)APP直接或间接从属于该公(gōng)司。报告显示，被曝光APP迄今下载量已经超过1.11亿次，可(kě)见波及范围之广。

以上述被披露的公(gōng)司為(wèi)例，在下载软件的权限设置中(zhōng)，程序需要读取讯息、读取通讯录、发送短信、修改/删除内部媒體(tǐ)储存设备的内容等。且在读取用(yòng)户内容后，该公(gōng)司并未向用(yòng)户明示，收集使用(yòng)信息的目的、方式和范围。详见图8：

图8 获取权限截图

四、APP安(ān)全问题至关重要

2017年6月1日正式施行《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》，其中(zhōng)第41条至43条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用(yòng)个人信息，应当遵循相关的法律法规，并经被收集者同意，不得向他(tā)人提供个人信息。此外，网络运营者不得收集与其提供的服務(wù)无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息；网络运营者应当采取安(ān)全措施，确保其收集的个人信息安(ān)全。

然而实际操作(zuò)中(zhōng)，由于取证难、执法难。存在大量APP开发企业无视法律法规，在用(yòng)户使用(yòng)时根本不提供隐私条款，部分(fēn)APP即使有(yǒu)隐私条款，也是和实际采集的用(yòng)户信息不匹配。大量APP存在过度采集信息，即不是他(tā)们提供服務(wù)时应获取的信息，以及大量APP在收集和使用(yòng)用(yòng)户个人信息时缺乏明示，且未经用(yòng)户确认等情况。越权收集使用(yòng)、随意操作(zuò)窃取现象非常突出。

此外需引起关注的是，除被曝光的信息安(ān)全事件之外，还有(yǒu)较多(duō)的SDK仍存在隐蔽窃取用(yòng)户信息的行為(wèi)。因此作(zuò)為(wèi)APP开发企业，除了提高安(ān)全意识、规范自身行為(wèi)以外，还应对自己所提供的APP负责，避免因SDK的恶意行為(wèi)而受到牵连，避免不法分(fēn)子利用(yòng)自己的APP做保护套，干着违法的勾当。

从近期Android端恶意应用(yòng)的作(zuò)恶手法来看，恶意开发者更多(duō)地向Android应用(yòng)供应链的上游转移，从直接开发APP应用(yòng)转向开发SDK。通过提供恶意的SDK给应用(yòng)开发者，导致给用(yòng)户造成更為(wèi)广泛的危害和损失。因此SDK的安(ān)全问题将成為(wèi)今年乃至今后很(hěn)長(cháng)一段时间，政府相关部门及爱加密护航移动应用(yòng)安(ān)全的首要任務(wù)。