软件开发包(SDK) 安全研究报告 (2021 年) 中国信息通信研究院安全研究所 深圳市腾讯计算机系统有限公司 2021 年 12 月 版权声明 本报告版权属于中国信息通信研究院和深圳市腾讯计 算机系统有限公司,并受法律保护。转载、摘编或利用其 它方式使用本报告文字或者观点的,应注明“来源:中国 信息通信研究院和深圳市腾讯计算机系统有限公司”。违反 上述声明者,编者将追究其相关法律责任。 编制说明 本报告的编制获得深圳市腾讯计算机系统有限公司以下团队的 支持,在此一并感谢(排名不分先后): 前 言 近年来,随着移动互联产业的兴起,移动应用软件(Application, App)逐渐渗透到社会生活的各个领域,为大众提供精细化场景化服 务。在面向细分领域发展的同时,App 种类和数量呈爆发式增长, 软件开发工具包(Software Development Kit ,SDK)被广泛集成、 应用,为日益丰富的 App 功能、服务提供了技术上的解决方案。 数字经济时代下,移动应用场景迅速扩展,SDK 逐步成为移动 业务价值拓展的重要组成部分。然而,由于 SDK 具有泛用性、灵活 性等特点,一旦出现安全问题,不仅自身业务受到直接影响,也会 威胁到集成 SDK 的 App 业务安全和数据安全,严重的情况下甚至可 能影响移动应用系统生态安全。随着安全形势不断变化,SDK 的安 全合规问题已经进入各方视野,SDK 可能存在的安全漏洞、恶意行 为,以及隐藏在 App 背后不透明地收集使用个人信息等问题逐渐成 为各方关注的焦点问题。 中国信息通信研究院联合深圳市腾讯计算机系统有限公司共同 研究编制本报告,报告从场景分析、数据统计、政策标准方面分享 了 SDK 行业发展现状,对 SDK 行业面临的合规风险、安全风险进 行了分析,面向 SDK 及 App 开发者提出了安全措施建议,并从实践 角度分享案例和经验,为促进 SDK 行业生态的健康发展提供参考。 移动互联产业仍处于蓬勃发展阶段,移动应用生态安全亟需多 方共同协作努力,报告不足之处欢迎批评指正。 目 录 一、 SDK 行业发展现状............................................................................................. 1 (一) SDK 应用广泛,行业发展持续活跃............................................................ 1 (二) 政策标准逐步明晰,为 SDK 安全落地提供导向...................................... 8 二、 SDK 的合规风险............................................................................................... 10 (一) SDK 收集使用个人信息的合规风险分析.................................................. 10 (二) SDK 个人信息安全合规要求的总结.......................................................... 12 三、 SDK 的安全风险............................................................................................... 15 (一) SDK 的安全漏洞问题不容忽视.................................................................. 15 (二) SDK 的恶意行为带来隐藏风险.................................................................. 18 四、 面向开发者的安全措施建议............................................................................ 22 (一) 面向 SDK 开发者........................................................................................ 22 (二) 面向 App 开发者..........................................................................................23 附录一 SDK 安全实践............................................................................................... 25 (一) 信通院发起 SDK 安全专项行动................................................................ 25 (二) 腾讯探索 App 及 SDK 合规解决方案........................................................27 附录二 SDK 安全关键技术....................................................................................... 32 (一) SDK 研发环境.............................................................................................. 32 (二) SDK 安全防护技术...................................................................................... 32 (三) SDK 安全检测技术...................................................................................... 33 附录三 常见 SDK 安全风险...................................................................................... 34 图 目 录 图 1 各类 App 平均集成 SDK 数量.........................................................................6 图 2 集成次数较多的第三方 SDK 类型分布..........................................................7 图 3 第三方 SDK 各类敏感行为统计......................................................................7 图 4 SDK 安全漏洞类型占比.................................................................................16 图 5 恶意 SDK 动态更新后隐蔽执行恶意行为....................................................21 图 6 新型物联网 SDK 黑产....................................................................................21 图 7 SDK 安全专项行动评测范围.........................................................................25 图 8 评测流程..........................................................................................................26 图 9 腾讯云移动合规检测平台..............................................................................28 图 10 平台检测示例 1.............................................................................................28 图 11 平台检测示例 2.............................................................................................29 表 目 录 表 1 常见 SDK 类型及典型供应商..........................................................................2 表 2 部分 SDK 合规相关要求................................................................................13 表 3 典型 SDK 恶意行为........................................................................................19 软件开发包(SDK)安全研究报告(2021 年) 近年来,随着移动互联产业的兴起,移动应用软件(App)逐渐 渗透到社会生活的各个领域,成为线上线下数据交汇的重要节点。根 据工信部《2021 年上半年互联网和相关服务业运行情况》监测数据, 截至 2021 年 6 月底, 我国国内市场上监测到的 App 数量为 302 万款。 其中,本土第三方应用商店 App 数量 166 万款,苹果商店(中国区) App 数量 136 万款1。在数量迅速增长的同时,App 也进入了精细化

pdf文档 信通院 软件开发包-SDK安全研究报告-2021年

文档预览
中文文档 44 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共44页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
信通院 软件开发包-SDK安全研究报告-2021年 第 1 页 信通院 软件开发包-SDK安全研究报告-2021年 第 2 页 信通院 软件开发包-SDK安全研究报告-2021年 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-11 13:30:59上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。