从近期热点安全事件看SDK安全管理

2020-05-22 梆梆观点1742

第三方SDK留下暗门或可导致企业App业务停摆

随着复工节奏的加快，远程办公的需求也日益旺盛，许多App也迎来海量的客户。但在流量的冲击下，一些细微的安全问题也被放大。近期就有某知名线上会议App被爆出所集成的第三方SDK在用户不知情的前提下大量搜集、传输个人信息，导致客户的隐私泄漏。问题发酵最终导致许多大型机构宣布为了安全在组织内禁用该App，线上会议公司面临大量用户流失，更面临巨额赔偿的风险。

结合其他报道，可以看出在此事件中该公司存在的问题包括：

l 没有完全掌握App的SDK集成情况，存在疏漏情况

l 没有完全掌握SDK的行为，包括SDK调用哪些涉及个人信息的敏感系统权限

l 在隐私协议中，没有写明SDK的具体行为

知其所以然，集成SDK合规之道

归根结底，开发者有效掌握App中SDK的集成情况，以及了解SDK的具体权限调用情况，是避免出现合规问题的前提。

一些常见的SDK，如支付类SDK、导航类SDK，本身的功能就与个人信息有密切关系，SDK常见搜集的信息包括手机设备信息（如IMEI、IMSI等设备唯一识别码）、网络信息（如IP地址、MAC地址、Wi-Fi热点等）、手机状态信息（如已安装/运行中的应用信息）、用户行为信息（如锁屏、安装、升级、卸载应用软件）、用户个人信息（如电话号码、地理位置、通话记录）等，其搜集的信息范围很广泛。SDK作为App的一部分，App需要对SDK的行为承担法律责任，《数据安全管理办法（征求意见稿）》、《个人信息安全规范》、《移动互联网应用程序（App）收集使用个人信息自评估指南》明确指出App应如何处理与SDK的关系。

从近期的安全事件中以及前期监管通报的案例中能够看到，多起案例均是App集成的SDK搜集个人信息，但没有在隐私政策提及SDK收集信息的动作，最终导致监管通报批评，造成不良舆论，甚至App被直接下架，对业务造成影响。

因此，App开发者应该对自身集成的SDK进行合规分析，了解自身App中集成哪些SDK，其SDK行为是否全部列入隐私协议，并且需要分析SDK是否有隐藏的行为。

应用行为安全检测平台助力开发者维护SDK安全

对于上述问题，梆梆安全推出应用行为安全检测平台，帮助开发者透视SDK行为安全，进行应用合规保护。

1、快速发现SDK集成情况，将应用中集成的SDK全部列出；

2、发现SDK权限行为，帮助企业和开发者快速确认权限是否存在滥用情况；

3、审计SDK网络连接动作；

4、基于真实行为检测，不依赖特征；

5、使用方法简单，不需要使用人员掌握专业渗透测试技术。

做好SDK安全管理，守护应用合规防线

企业在当前数字化转型中业务越来越依赖于各式各样的应用，确保这些应用所集成SDK的安全可靠，是守护好业务发展的第一道防线。

企业在外包、集成SDK、使用开源框架、多渠道分发等场景下，可使用应用行为安全检测平台进行动态安全监测，提前发现SDK未授权的权限使用和访问行为。梆梆安全通过应用行为安全检测平台等安全产品，配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力，帮助企业建立SDK全生命周期管理制度，保障软件供应链安全，避免出现各类违规行为，尤其是个人信息相关的合规问题，降低企业业务安全风险。

随着个人信息保护法律法规标准的落地实施，“回头看”成为大部分开发者需要做的事情，从个人隐私政策到个人信息收集，需要做到从野蛮生长到秩序成长，不断提升企业在个人信息保护方面的相关能力，使得最终用户能够安心使用企业所提供的服务。