随着移动互联网的快速发展，手机App的功能复杂程度和版本更新速度不断提升。基于对手机App及其接入的第三方SDK（软件开发工具包）的分析和研究，近日，安天移动安全从SDK给应用开发者和App用户可能带来的安全风险和权益问题的角度，对SDK行为安全性现状作出专项报告解读。

（图源网络）

　　焦点1：第三方SDK使用情况如何？

　　报告显示，应用开发者为了提高应用的迭代速度、降低开发成本以及提供更加丰富的业务功能，除了自主开发App的相关功能代码，还会接入由第三方开发的功能代码模块，从而快速接入和实现某类业务功能。

（图源网络）

　　目前，常见的第三方开发的功能代码模块类型有广告SDK、支付SDK、消息推送SDK、用户行为统计SDK等。

　　应用开发者往往和第三方SDK开发者签订某种开发接入的协议约定，获取到接入的SDK开发工具包，通过接入demo（样稿）示例和开发文档，以调用通过相关API（应用程序接口）的方式获取SDK提供的功能和服务。

　　实际应用中，SDK的使用场景会更为多样化。除了SDK提供者提供开发工具包供应用开发者接入的形式外，还包括SDK提供者提供URL（统一资源定位系统）请求API、非Java（计算机编程语言）实现的SDK代码模块，以及可供应用开发者内嵌至其URL请求API中的外链地址或脚本等形式。

　　焦点2：国内主流SDK提供者有哪些？

　　从国内主流的SDK提供者来看，主要可以划分为3种类型——

　　综合性的SDK提供者：

　　旗下会开发多款SDK产品，用于向应用开发者提供多样性的SDK功能。例如，极光、个推、友盟等SDK提供者。

　　特定品类SDK提供者：

　　SDK主要针对特定品类应用提供其所必须的某种功能，旗下SDK产品的类型较为单一。例如，数盟、数美主要提供安全风控类的SDK。

　　手机终端厂商：

　　手机终端厂商会基于系统功能特性为应用开发者提供更为便利的SDK功能服务，既降低应用在特定手机终端系统上功能开发的成本，也能够有效利用系统提供的多样化功能服务，为应用实现更多功能。

　　焦点3：手机App接入SDK需注意哪些问题？

　　集成第三方SDK的优势显而易见：首先，应用程序可以获得专业公司在各个领域提供的高质量资源；

　　其次，如果应用程序将类似PayPal（在线支付服务商）的第三方SDK包含在内，它就可以执行像付款这样复杂的功能。尤其是对于小型的开发团队，这些SDK有助于提高应用的开发效率。

　　另外，广告平台这种第三方SDK，还可以帮助应用程序的开发者获得收益。

　　在这个过程中，应用开发者（通常以中小开发者为主）往往难以全面评估接入SDK的安全性，以及SDK的全部运行行为。如果第三方SDK存在某些恶意或风险的代码、行为，则会被引入到App中，给应用开发者和App用户带来不可估量的安全风险和权益问题。

　　多项研究也证实，一些第三方SDK存在隐私泄露问题。除了侵犯用户隐私以外，有些第三方SDK还会采取不安全的实现方式，增加其宿主应用程序的攻击面，从而对用户安全造成威胁。甚至是一些信誉较好软件公司的SDK，也被发现存在严重的安全漏洞。

　　这些漏洞带来的攻击包括：将敏感数据泄露到公开可读的数据源，代码注入攻击、账户劫持，将受害者设备连接到攻击者控制的Dropbox（一款免费网络文件同步工具）账户等。

　　有业内人士表示，当应用程序开发人员将第三方SDK加入到应用程序中时，会将某些权限、组件、数据等信息添加到manifest（一种软件，可以运行任何应用程序的代码）文件中。而第三方SDK可以与主机应用程序共享manifest文件中的权限。

　　换言之，即使SDK在开发文档中没有声明需要某些权限，如果manifest文件作了声明，那么SDK也可以使用这些权限……

　　监制：张宁 策划：李政葳 制作：姚坤森