App使用軟件開發(fā)工具包（SDK）安全指引

1、目錄 HYPERLINK l _bookmark0 適用范圍 1 HYPERLINK l _bookmark1 術(shù)語定義 1 HYPERLINK l _bookmark2 概述 2 HYPERLINK l _bookmark3 App 使用 SDK 的相關(guān)方和責(zé)任 2 HYPERLINK l _bookmark6 常見 SDK 類型 3 HYPERLINK l _bookmark7 常見安全問題 4 HYPERLINK l _bookmark8 SDK 自身安全漏洞 5 HYPERLINK l _bookmark10 SDK 惡意行為 7 HYPERLINK l _bookmark12 SDK

2、 收集使用個人信息問題 8 HYPERLINK l _bookmark13 基本原則和安全措施 9 HYPERLINK l _bookmark14 App 使用 SDK 安全原則 9 HYPERLINK l _bookmark15 App 提供者安全措施 11 HYPERLINK l _bookmark18 SDK 提供者安全措施 13適用范圍本實踐指南給出了 App 使用 SDK 的相關(guān)方責(zé)任和常見安全問題，并針對常見問題給出了App 提供者和SDK 提供者的安全原則和安全措施。本實踐指南適用于 App 提供者使用 SDK 時防范 SDK 安全和合規(guī)風(fēng)險，也適用于SDK 提供者保障SDK 安

3、全和用戶個人信息時參考。術(shù)語定義移動互聯(lián)網(wǎng)應(yīng)用程序通過預(yù)裝、下載等方式獲取并運行在移動智能終端上、向用戶提供服務(wù)的應(yīng)用軟件，簡稱App。移動互聯(lián)網(wǎng)應(yīng)用程序提供者移動互聯(lián)網(wǎng)應(yīng)用程序的開發(fā)者、運營者或所有者，簡稱 App 提供者。軟件開發(fā)工具包協(xié)助軟件開發(fā)的相關(guān)二進制文件、文檔、范例和工具的集合，簡稱SDK。本指南中的SDK，是指對實現(xiàn)App 特定功能的代碼進行封裝，向外提供簡捷的調(diào)用接口的二進制文件。軟件開發(fā)工具包提供者軟件開發(fā)工具包的開發(fā)者、運營者或所有者，簡稱 SDK 提供者。熱更新在不重新下載和安裝 App 的情況下，通過動態(tài)加載的方式更新App 中的代碼或資源文件，實現(xiàn)App 功能的更新

4、。概述App 使用SDK 的相關(guān)方和責(zé)任App使用SDK通常涉及App用戶、App提供者 HYPERLINK l _bookmark4 1和SDK提供者 HYPERLINK l _bookmark5 2三方角色，如圖1所示。SDK提供者將實現(xiàn)特定功能的代碼進行封裝，并提供簡單的調(diào)用接口。App提供者將SDK嵌入App代碼中，調(diào)用SDK提供的接口實現(xiàn)相應(yīng)的功能，如果某些SDK具有獨立交互界面，App交互頁面也會將其嵌入。用戶通過App交互界面使用SDK功能時，通常對SDK提供者沒有感知，但如果通過頁面跳轉(zhuǎn)等方式訪問SDK提供者的獨立交互頁面時，可能感知到SDK提供者。SDK這種方式使得 App提

5、供者不必關(guān)心所需功能的具體代碼實現(xiàn)便能使用相關(guān)功能，提高了App開發(fā)和運營的效率。App提供者合作嵌入交互交互App用戶App交互界面某些 SDK獨立交互界面App方法調(diào)用 SDK接口SDK程序App主程序（封裝廣 告、推送、統(tǒng)計、定 位、支付、風(fēng)控等功 能）SDK提供者App圖 1 SDK使用示意圖1 也存在App 提供者和 SDK 提供者同為一方的情況，即 App 提供者使用自身開發(fā)的 SDK。2 如果App 提供者和 SDK 提供者不是同一方，通常將 SDK 稱為第三方 SDK。從App個人信息安全的角度來看，原則上App提供者是App個人信息控制者及保護用戶個人信息安全的首要責(zé)任人，S

6、DK提供者按照 App使用SDK的不同方式承擔(dān)相應(yīng)的個人信息安全責(zé)任。具體而言：當(dāng)App嵌入開源SDK，或App提供方與SDK提供方是同一方時，由App提供方承擔(dān)保護個人信息安全責(zé)任；當(dāng)App提供者委托SDK提供者處理個人信息，或SDK提供者按照App提供者的指導(dǎo)或要求，代表App提供者處理個人信息的， App提供者承擔(dān)個人信息安全責(zé)任、SDK提供者需配合App提供者履行相關(guān)責(zé)任；如果App提供者和SDK提供者均是以單獨身份向App用戶提供服務(wù)，且均自行決定處理數(shù)據(jù)的目的與方式時，SDK提供者承擔(dān)個人信息控制者責(zé)任，App提供者承擔(dān)個人信息控制者和接入第三方管理的責(zé)任。如果App提供者和SDK

7、提供者共同決定數(shù)據(jù)的處理目的與方式時，App提供者和SDK提供者是個人信息共同控制者，需通過合同等形式約定各自承擔(dān)的責(zé)任。如存在侵害個人信息權(quán)益，應(yīng)承擔(dān)連帶責(zé)任。常見SDK 類型當(dāng)前，SDK被廣泛應(yīng)用于各類App開發(fā)中。按SDK功能劃分，常見的SDK有框架類、廣告類、推送類、統(tǒng)計類、地圖類等，詳見表1。表 1 常見 SDK 類型列表序號SDK 分類功能描述1框架類提供開發(fā)某一類 App 或跨平臺 App 所需的整體框架。序號SDK 分類功能描述2廣告類提供廣告展示功能，通過使用廣告 SDK，App 提供者可以在 App 中展示廣告商投放的廣告，進而根據(jù)用戶的點擊賺取收益。3推送類提供消息推送功

8、能。4統(tǒng)計類提供收集用戶與 App 之間的交互行為的功能。根據(jù)用戶使用 App 的情況，開發(fā)者可以有針對性地改進 App。5地圖類提供地圖和定位功能。6第三方登錄類提供通過其他賬號體系（如微博、微信、QQ）等第三方賬號登錄 App 的功能。7社交類提供社交功能，如消息、分享、排行等功能。8支付類提供移動支付功能。9客服類提供客服對話窗口、客服機器人等客服功能。10測試類提供線上測試功能，如 AB 測試。11安全風(fēng)控類提供移動業(yè)務(wù)安全風(fēng)控功能。12Crash 監(jiān)控類提供 App 崩潰、App 無響應(yīng)、卡頓的數(shù)據(jù)收集與分析。13人臉識別類提供人臉識別、活體檢測等功能。14語音識別類提供語音轉(zhuǎn)文字等

9、功能15短信驗證類提供短信驗證功能。16基礎(chǔ)功能類提供 App 的基礎(chǔ)功能，如網(wǎng)絡(luò)訪問、圖片緩存、多媒體操作等。常見安全問題SDK向App屏蔽了特定功能的實現(xiàn)細(xì)節(jié)，簡化了App開發(fā)和運營，但也正因為如此，SDK自身的行為具有較強的隱蔽性，其所造成的安全問題不易被察覺。此外，一款SDK可能會被多款A(yù)pp集成，因此一旦該SDK出現(xiàn)安全問題，就會影響多款A(yù)pp及其用戶。App使用SDK可能面臨以下三類常見安全問題：SDK 自身安全漏洞SDK 在開發(fā)時聚焦于功能實現(xiàn)而忽視了安全性，可能導(dǎo)致SDK本身存在安全漏洞。表 2 列出了SDK 常見安全漏洞，這些漏洞可被惡意攻擊者利用，對嵌入該SDK 的大量 A

10、pp 及其終端用戶的數(shù)據(jù)及隱私安全造成嚴(yán)重威脅。表 2 常見 SDK 安全漏洞類型名稱源文件安全Java 代碼未混淆風(fēng)險私有函數(shù)調(diào)用風(fēng)險AES 弱加密漏洞RSA 算法不安全使用漏洞隨機數(shù)不安全使用敏感函數(shù)調(diào)用風(fēng)險內(nèi)部數(shù)據(jù)交互安全低保護級別的自定義權(quán)限PengdingIntent 不安全使用攜帶敏感信息的隱式 Intent 調(diào)用動態(tài)注冊廣播FFmpeg 文件讀取Intent Scheme URLs 攻擊Provider 文件目錄遍歷Fragment 注入Webview 未移除隱藏接口Webview 明文保存密碼Activity 綁定 browserable 與自定義協(xié)議存在剪切板讀或?qū)懖僮髀┒礄z

11、測通信數(shù)據(jù)傳輸安全SSL 通信服務(wù)端檢測信任任意證書SSL 通信客戶端檢測信任任意證書HTTPS 關(guān)閉主機名驗證Webview 存在本地 Java 接口Webview 忽略 SSL 證書錯誤開放 socket 端口Webview 啟用訪問文件數(shù)據(jù)本地數(shù)據(jù)存儲安全getdir 讀寫權(quán)限配置錯誤全局文件讀寫權(quán)限配置錯誤配置文件讀寫權(quán)限配置錯誤AES/DES 硬編碼密鑰打開或創(chuàng)建數(shù)據(jù)庫文件權(quán)限配置錯誤防御檢測DEX 文件動態(tài)加載外部加載 so 文件漏洞未使用編譯器堆棧保護技術(shù)未使用地址空間隨機化技術(shù)unzip 解壓縮（ZipperDown）動態(tài)鏈接庫中包含執(zhí)行命令函數(shù)libupnp 棧溢出漏洞Web

12、view 組件遠(yuǎn)程代碼執(zhí)行（調(diào)用 getClassLoader）保存明文數(shù)字證書風(fēng)險篡改/二次打包風(fēng)險資源文件泄露風(fēng)險so 文件破解風(fēng)險其中，ZipperDown 漏洞 HYPERLINK l _bookmark9 3是由于App 使用第三方Zip 庫解壓Zip文件的過程中沒有對 Zip 內(nèi)文件名做校驗導(dǎo)致，如果文件名中含有 “./”文件路徑則可實現(xiàn)目錄的上一級跳轉(zhuǎn)，進而實現(xiàn) App 內(nèi)任意目3 ZipperDown 漏洞，炒作還是一觸即發(fā)？ https HYPERLINK /articles/terminal/172627.html :/articles/terminal/172627.ht

13、ml錄的跳轉(zhuǎn)和文件覆蓋，攻擊者便可對應(yīng)用資源、代碼進行任意篡改、替換，從而實現(xiàn)遠(yuǎn)程代碼劫持等高危操作，危害業(yè)務(wù)應(yīng)用場景。SDK 惡意行為但可后續(xù)通過熱更新動態(tài)加載惡意代碼實施惡意行為，如圖 2 所示。以“寄生推”事件 HYPERLINK l _bookmark11 4為例，SDK開發(fā)者通過云端控制的方式對目標(biāo)用戶下發(fā)包含惡意功能的代碼包，進行Root提權(quán)，靜默應(yīng)用安裝等隱蔽操作，進而通過惡意廣告行為和應(yīng)用推廣牟取灰色收益。圖 2 SDK 熱更新后隱蔽執(zhí)行惡意行為典型的惡意行為如流量劫持、資費消耗、隱私竊取等，詳見表3。表 3 SDK 惡意行為分類SDK惡意行為是指嵌入App中的SDK自身產(chǎn)生的

14、惡意行為，這種惡意行為將破壞使用SDK的App的安全性，對用戶權(quán)益、數(shù)據(jù)等方面造成嚴(yán)重威脅。某些SDK在嵌入App的初期可能并不具有惡意行為，序號行為名稱注釋1流量劫持SDK信息拉取、上報和展示目標(biāo)與App提供者設(shè)定的目標(biāo)不同，惡意劫持App流量，可能對App造成損害。2資費消耗SDK可通過消耗用戶網(wǎng)絡(luò)套餐資費、惡意發(fā)送收費短信，訂閱收費服務(wù)等行為，造成用戶的資金損失。3隱私竊取SDK在用戶不知情或誤導(dǎo)用戶的情況下，隱蔽竊取用戶的通訊錄、短信息等個人敏感信息，隱蔽進行拍照、錄音等敏感行為，并發(fā)送給惡意開發(fā)者。4 “寄生推”SDK 云控作惡，300 多款應(yīng)用不幸躺槍. https HYPERLI

15、NK /articles/terminal/168984.html :/articles/terminal/168984.html序號行為名稱注釋4靜默下載安裝SDK在后臺靜默下載、安裝其它惡意軟件或病毒木馬。5廣告刷量SDK在用戶不知情的情況下，在后臺模擬人工點擊廣告鏈接進行牟利。6惡意廣告SDK向用戶推送包含欺詐內(nèi)容、病毒木馬的廣告鏈接。推送過量廣告，進而長期占用系統(tǒng)通知欄、屏幕界面，干擾用戶正常使用App。7勒索SDK惡意加密用戶手機中的文件，干擾用戶對手機的正常使用，并以恢復(fù)正常使用為由向用戶勒索錢財。8挖礦SDK在用戶不知情的情況下利用其手機的計算能力來為攻擊者獲取電子加密貨幣，對用

16、戶設(shè)備硬件造成性能損耗。9遠(yuǎn)程控制SDK在手機端啟動本地后臺服務(wù)器，接收遠(yuǎn)程控制端發(fā)來的控制指令，隱蔽進行上述其他惡意行為。10剪切板劫持SDK對系統(tǒng)剪切板進行監(jiān)聽，獲取剪切板中的敏感信息，或者根據(jù)剪貼板內(nèi)容的變化觸發(fā)懸浮窗，干擾系統(tǒng)功能，欺騙用戶，或者影響其他應(yīng)用正常使用。SDK 收集使用個人信息問題如果SDK收集使用個人信息方面存在安全問題，App使用SDK時將對App用戶個人信息構(gòu)成安全風(fēng)險，主要體現(xiàn)在：SDK超范圍收集個人信息。主要表現(xiàn)在SDK收集與提供服務(wù)無關(guān)的個人信息，強制申請非必要的權(quán)限，自動收集個人信息的頻度和時機不合理等。例如，一些SDK會收集設(shè)備信息、網(wǎng)絡(luò)環(huán)境信息，讀取用戶

17、設(shè)備已安裝應(yīng)用程序列表，甚至超范圍收集用戶通訊錄、通話記錄、地理位置等敏感信息。未說明App嵌入的SDK收集使用個人信息的目的、類型、方式。SDK通常無法獨立展示前臺頁面，其告知行為往往需要借助宿主 App透出給用戶，但由于一些SDK未向App告知或完整告知自身所收集的個人信息，或者SDK公開了收集使用規(guī)則但App擔(dān)心影響用戶體驗未向用戶明示等原因，造成用戶對SDK收集使用個人信息無感知。SDK未經(jīng)用戶同意收集、使用或?qū)ν馓峁﹤€人信息。例如App嵌入的SDK未經(jīng)用戶同意，私自調(diào)用權(quán)限隱蔽收集個人信息，私自通過自啟動、關(guān)聯(lián)啟動等方式收集個人信息，SDK實際收集的用戶個人信息超出公開文檔所聲明的系

18、統(tǒng)權(quán)限和個人信息，SDK提供者超出用戶授權(quán)范圍使用個人信息，私自向其他應(yīng)用或服務(wù)器發(fā)送、共享用戶個人信息等。d）App對嵌入SDK的安全管理監(jiān)督不足。由于許多App與SDK通過開放平臺在線簽署開發(fā)者服務(wù)協(xié)議來約定權(quán)利義務(wù)，而開發(fā)者服務(wù)協(xié)議很少有專門約束數(shù)據(jù)安全的規(guī)定，以及App對SDK收集使用個人信息進行技術(shù)檢測存在難度等原因，App對嵌入的SDK收集使用個人信息情況不夠了解，容易引入SDK違法違規(guī)收集使用個人信息的合規(guī)風(fēng)險，需要App對共享給SDK的個人信息，雙方權(quán)利義務(wù)及第三方 SDK收集使用個人信息情況等加強管理監(jiān)督。基本原則和安全措施App 使用SDK 安全原則App 使用SDK 處理

19、個人信息時，App 提供者、SDK 提供者應(yīng)滿足GB/T 35273-2020信息安全技術(shù) 個人信息安全規(guī)范相關(guān)角色要求，并均應(yīng)遵循個人信息安全規(guī)范的七項基本原則，具體包括：權(quán)責(zé)一致原則：App 提供者、SDK 提供者均應(yīng)對其個人信息處理活動對用戶合法權(quán)益造成的損害承擔(dān)相應(yīng)責(zé)任。目的明確原則：App 選用處理個人信息的SDK 時，應(yīng)保證 SDK 具有明確、清晰、具體、合理的個人信息處理目的，且與App業(yè)務(wù)功能直接相關(guān)。選擇同意原則：向用戶明示嵌入的 SDK 收集使用個人信息的目的、類型、方式，及App 共享給SDK 提供者的個人信息類型，并征求用戶授權(quán)同意。最小必要原則：App 僅嵌入滿足業(yè)務(wù)

20、功能需要的最少夠用的 SDK。SDK 不申請與App 業(yè)務(wù)功能無關(guān)的權(quán)限，只收集滿足所提供服務(wù)所需的最少個人信息類型、數(shù)量和頻度。公開透明原則：SDK 以明確、易懂和合理的方式向 App 公開 SDK 處理個人信息的范圍、目的、規(guī)則等，SDK 收集使用個人信息實際行為應(yīng)與公開文檔聲明保持一致。App 提供者對嵌入的SDK 收集使用個人信息和安全風(fēng)險進行管理監(jiān)督。確保安全原則：App 提供者、SDK 提供者采取足夠的管理措施和技術(shù)手段，保護數(shù)據(jù)的保密性、完整性、可用性，SDK 提供者采取措施保障SDK 開發(fā)安全和隱私設(shè)計。主體參與原則：SDK 提供者建立能夠查詢、更正、刪除其個人信息，及撤回授權(quán)

21、同意、投訴等渠道，并協(xié)助App 提供者展示相應(yīng)渠道，以響應(yīng)用戶個人信息權(quán)利請求。App 提供者安全措施App 提供者應(yīng)基于 5.1 中安全原則，采取充分的安全措施保證使用SDK 時不引入安全風(fēng)險，包括但不限于：遵循合法、正當(dāng)、必要的原則選擇使用SDK。集成SDK前對SDK進行安全性評估，根據(jù)實際情況可選擇如下評估內(nèi)容：來源安全性評估，包括但不限于：SDK提供者的基本信息； SDK提供者的溝通反饋渠道；SDK隱私政策鏈接地址；SDK提供者的安全能力；SDK的基本功能；SDK的版本號等。代碼安全性評估，包括但不限于：是否存在已知的惡意代碼；是否存在已知的安全漏洞；是否申請敏感權(quán)限 HYPERLIN

22、K l _bookmark16 5；是否嵌入了其他SDK等。行為安全性評估，包括但不限于：調(diào)用的敏感權(quán)限、目的和頻率；收集的個人信息類型、目的和頻率；個人信息回傳服務(wù)器域名、IP地址、所在地域；是否存在熱更新行為及熱更新是否可主動關(guān)閉；傳輸數(shù)據(jù)是否加密；是否存在單獨收集用戶個人信息的界面；是否存在后臺自啟動和關(guān)聯(lián)啟動后收集個人信息的行為等。5 本文件所指的敏感權(quán)限，是指可訪問用戶個人信息（如短信、通信錄、設(shè)備唯一標(biāo)識符等）和可調(diào)用敏感操作能力（如攝像頭、麥克風(fēng)、精確地理位置等）的系統(tǒng)權(quán)限。使用提供者基本信息明確、溝通反饋渠道有效的SDK。對于使用的具有熱更新功能的SDK，對SDK的熱更新內(nèi)容進

23、行內(nèi)容校驗，對于非官方的熱更新內(nèi)容進行阻斷，對于發(fā)現(xiàn)問題的熱更新內(nèi)容應(yīng)及時停用。對集成后的SDK進行持續(xù)動態(tài)監(jiān)測或定期進行安全評估。對于已經(jīng)發(fā)現(xiàn)的SDK安全漏洞，及時修復(fù)，或者采用其它替代方案，并從SDK官方渠道及時更新最新版本SDK。對于已經(jīng)發(fā)現(xiàn)存在惡意行為的SDK，及時停止使用。通過接口調(diào)用SDK功能的，對接口增加鑒權(quán)機制。向用戶告知所接入的涉及個人信息收集的SDK的名稱，SDK收集的個人信息類型、目的和方式，申請的敏感權(quán)限、申請目的等，并征得用戶同意。若SDK需向用戶單獨告知收集使用個人信息的行為，App需為其中無單獨頁面的SDK提供向用戶告知的便捷渠道。與SDK提供者簽訂合作協(xié)議或進一

24、步完善與SDK提供者的合作協(xié)議，明確SDK收集的個人信息類型、申請的敏感權(quán)限、個人信息的收集目的、保存期限、超期處理方式等，明確雙方在個人信息保護方面分別應(yīng)采取的措施、承擔(dān)的責(zé)任和義務(wù)等。當(dāng)雙方合作存在重大變更時 HYPERLINK l _bookmark17 6，應(yīng)重新達成合作協(xié)議。停用某SDK后，及時從App中移除該SDK的代碼和調(diào)用該SDK的代碼，存在通過本App共享或收集個人信息的，應(yīng)敦促SDK6 重大變更所包含內(nèi)容可參考 GB/T 35273-2020 附錄 D。提供者按照合作協(xié)議約定，刪除從本App共享或收集的個人信息或做匿名化處理。SDK 提供者安全措施App 提供者在選用SDK

25、 時，應(yīng)選用安全性、可靠性高的SDK，建議SDK 提供者基于 5.1 中安全原則采取以下安全措施，并向App提供者提供有關(guān)安全能力的證明?？刹扇〉陌踩胧┌ǖ幌抻冢菏占褂脗€人信息和申請敏感權(quán)限應(yīng)遵循合理、最小、必要原則。對功能獨立的模塊，宜進行拆分或提供單獨的開啟關(guān)閉選項，允許App提供者按需進行選擇使用或開啟關(guān)閉，不應(yīng)強制捆綁無關(guān)功能并以此為由申請無關(guān)權(quán)限或收集無關(guān)的個人信息。收集個人信息的頻率應(yīng)是實現(xiàn)自身業(yè)務(wù)功能所必需的最低頻率。在App用戶或App提供者未使用SDK相關(guān)業(yè)務(wù)功能時，不應(yīng)強制申請權(quán)限或通過自啟動、關(guān)聯(lián)啟動等方式開始收集個人信息。通過代碼審計、代碼混淆等方式，增強自身安

26、全性。在發(fā)布上線前，進行安全評估，評估內(nèi)容包括但不限于：完整性校驗、惡意代碼檢測、安全漏洞檢測、權(quán)限申請和調(diào)用頻率檢測、收集個人信息類型和頻率檢測、后臺自啟動和關(guān)聯(lián)啟動并收集個人信息的行為檢測。發(fā)布上線后，持續(xù)進行安全監(jiān)測或定期進行安全檢測，發(fā)現(xiàn)新的安全漏洞時應(yīng)及時進行修復(fù)并告知App提供者。通過接口調(diào)用提供自身功能的SDK，對接口增加鑒權(quán)機制，并對不同App調(diào)用接口的上下文環(huán)境進行隔離。數(shù)據(jù)傳輸使用HTTPS安全信道、雙向證書校驗、證書綁定等安全機制，避免因中間人攻擊導(dǎo)致傳輸數(shù)據(jù)泄露或被篡改。傳輸用戶個人敏感信息的，在傳輸前，對個人敏感信息內(nèi)容進行加密。采用熱更新技術(shù)的SDK，需建立完善的熱更新安全保障機制，包括但不限于：向App提供者明示自身SDK存在熱更新機制；在熱更新推送前至少5個工作日向App提供者說明本次熱更新包更新的時間節(jié)點、熱更新的具體內(nèi)容、更新后可能造成的影響、熱更新包的有效校驗方式等；如果熱更新內(nèi)容涉及個人信息收集使用的目的、方式和范圍的變更，安全性變更或重大的功能變更，進一步通過郵件、短信等逐一觸達的方式告知App提供者；提供單獨控制熱更新功能開啟關(guān)閉的選項，說明關(guān)閉熱更新功能帶來的影響，并保留App提供者在不接受熱更新功能的情況下仍可正常使用SDK其他功能的權(quán)利。向App提供者告知SDK的相關(guān)信息，告知的信息應(yīng)完整、準(zhǔn)確、及時，不存在故意隱瞞、