1

虽然大多数用户还不知道SDK是什么,但是SDK早已走入我们的手机。我国四五百万款APP,平均每个APP要用20个左右的SDK。

第三方开发的SDK功能多种多样,有的用于给用户推送消息,有的用于统计信息,甚至有的涉及私密的用户注册、支付确认、手机号认证等。

但可怕的是,SDK开发不完善甚至SDK开发者心怀不轨,都会让使用它的APP成为傀儡,危害用户隐私安全。

那么问题来了,如何避免?

国内这种环境,唯一的避免方法就是不用。但对某些软件,不用是不可能的,除非必要,勿增APP!

最佳贡献者
2

谢谢您的阅读!

最近央视315曝光了多款SDK插件窃取用户隐私的事件,在广大手机用户中掀起轰然大波,在移动设备与生活紧密结合的当下,真说不清有多少用户隐私被窃取。下面就让我来从普通消费者用户的角度,去解释清楚什么是SDK,它如何窃取用户隐私,以及作为普通用户的我们如何去防范。

SDK不是一款软件,而是插件


作为普通用户,首先要知道SDK不是一款软件,而是插件这个概念。插件就是一组功能模块,软件开发者把它的一个或多个模块整个嵌入软件里,就能实现特定的功能,而不用开发者重新开发,节省了大省开发时间和成本。打个不太贴切但能解释问题的比喻,你组装电脑需要显示功能,你只需要买一张显卡插到主板上,而无需要去从零件开始构建一张显卡。

在APP开发的实际过程中,我们会发现很多软件中都有相似的功能,连操作和界面接口都相近,就是因为他们用到了相同的SDK都实现同样的功能,比如支付、地图、翻译等。

理解这个概念,就是要认识到,央视315所曝光的SDK不是一款软件,而是插件的意思,因此你手机中没有安装一款叫“SDK”的软件,不代表就不存在风险。而SDK也不是单指某款插件,而是插件的统称(SDK,Software Development Kit,即软件开发工具包)。这些央视315曝光窃取用户隐私的是多款SDK,所有用些这几款SDK的APP都有泄漏用户信息的风险。

SDK如何窃取用户隐私?

用到这些SDK的软件,会在未经用户同意的情况下,收集设备和机主的关键信息,如IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息,然后悄悄地传送到指定的服务器存储起来。掌握这些信息,用心不良的人就可以将一台数码设备与生活中活生生的一个人(机主)挂钩,同时还掌握了机主的兴趣、消费习惯、消费能力、作息时间等,更甚至是短信记录中的一些私人敏感信息(银行卡号、私人对话等),细想之下真是恐怖致极。这里相信我不解释,读者也明白这些信息可以让立心不良的人达到什么目的。想想还有一些地下交易个人信息的行为,更无法想像假如个人信息遭到广泛传播后会造成什么影响。

普通个人用户如何去防范?

了解恶意SDK的危害后,当然就是要做好防范,千万不能让个人信息在不知情的情况下泄漏出去。这里有几点是普通个人用户都可以做到的:

  1. 只从可信的渠道安装APP。 比如苹果App Store、华为应用市场等手机厂商官方的APP安装渠道,这些市场上架的APP有机器与人工的检测、审核机制,从根本上保障了用户的信息安全。
  2. 安装手机端的安全软件。有很多国内手机厂商都自带了有安全扫描功能的软件,毕竟在国内的应用环境下,这个功能有一定的必要性。也可以选择第三方开发的安全软件,如某某手机管家等。
  3. 不要在手机中保存敏感信息。尤其不要通过短信、微信以文字或图片形式发送敏感信息,尤其是短信数据是极其容易被其它APP读取的,只要赋予了读取信息权限的APP都可以读取短信全部内容。手机中的通讯录及信息数据,是手机上被泄露得最多的个人数据。
  4. 尽量安装可信企业制作的APP。这一条其实比较尴尬,有实力的企业如BAT虽然不会使用一般企业开发的恶意SDK,但作为当今的互联网企业,有哪一家敢说没有悄悄收集过用户信息。相信不少人都经历过,浏览过包含某产品信息的网页后,打开某知名购物平台后,发现都是这个产品的推送吧。国内的APP行业个人信息安全还有很多的路要走,很多规范需要出台,才能真真正正保护我们普通用户的个人隐私安全。

您要是觉得不错就关注点个赞,让更多人看到!要是有独到的想法欢迎评论区留言一起讨论!

3

作为一名手机开发人员,跟你解释一下:SDK是干什么用的,有什么危害!

如果你要开发一个App或者一个网站,或者一个公众号、小程序。如果你要用到定位,那你就要用百度或高德的sdk。



sdk是什么?

SDK即“软体开发工具包”,一般是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具的集合。通俗点是指由第三方服务商提供的实现软件产品某项功能的工具包。

通常SDK是由专业性质的公司提供专业服务的集合,比如提供安卓开发工具、或者基于硬件开发的服务等。也有针对某项软件功能的SDK,如推送技术、图像识别技术、移动支付技术、语音识别分析技术等,在互联网开放的大趋势下,一些功能性的SDK已经被当作一个产品来运营。

开发者不需要再对产品的每个功能进行开发,选择合适稳定的SDK服务并花费很少的经历就可以在产品中集成某项功能。


SDK怎么一个存在?

sdk是要集成到手机App里面才能给用户使用,单纯的一个sdk是无法给用户使用。手机App就相当于一个宿主,sdk依附于App存在。SDK需要获取用户信息首先需要App向用户申请各种权限,App拥有了某些权限也相当于SDK拥有了这些权限,但sdk在后台干的事情可能不仅局限于说明书里面写的那些功能,比如:上面说的定位sdk可能会收集你的同学录和短信聊天记录。


怎么样避免?

根据我上面的描述,要避免sdk收集敏感信息,其实都是避免给一些App敏感信息的权限

  • 不安装不明来历的app,一般从自带应用商城或官网下载APP使用。
  • 不授予敏感权限,比如一个地图应用要拍照、录音权限,那你可以不授予。

你的回答

单击“发布您的答案”,即表示您同意我们的服务条款