中國國家安全部 12 月 2 日發文警告,境外組織可能透過將惡意 SDK(軟件開發工具包)嵌入應用程式,非法收集敏感資料並傳輸至境外伺服器。國安部指出,這種行為除了嚴重侵犯公民個人私隱,更可能導致用戶輪廓、行業數據等關鍵資料被境外掌控,對國家安全構成現實威脅。
國安部在文章中列舉 SDK 三大潛在威脅。首先是隱蔽後門問題,境外黑客組織或敵對勢力可能利用第三方 SDK 的安全漏洞或惡意程式碼進行攻擊,甚至直接在 SDK 中預置後門,對使用該 SDK 開發的應用程式進行深度滲透。用戶一旦安裝此類應用程式,攻擊者便可遙距操控裝置,竊取更多重要敏感資料。
其次是違規收集個人資料。有關單位通報顯示,部分 SDK 存在違規收集使用個人資料行為,這些資料可能被用於精準分析用戶輪廓,進而推斷出更多深層資訊。研究顯示,全球約 42% 第三方 SDK 在未加密情況下收集敏感用戶數據。個別境外 SDK 服務商甚至透過付費方式誘使開發者使用其服務,形成隱蔽的數據獲取途徑。
第三是系統性風險擴散。隨著使用第三方 SDK 開發的應用程式數量增加,其潛在攻擊面呈幾何級數擴大。當某個通用 SDK 存在漏洞時,所有整合該組件的應用程式都將面臨連鎖式安全威脅,最終擴散至整個流動生態系統。2025 年 9 月,JavaScript 生態系統便曾遭遇大規模供應鏈攻擊 Shai-Hulud,影響超過 1,000 個 NPM 套件與 27,000 個項目。
值得注意的是,中國工信部等部門已在 2025 年 11 月發布公告,對 App、SDK 違法違規收集使用個人資料等問題進行治理。經組織第三方檢測機構抽查,共發現 39 款 App 及 SDK 存在侵害用戶權益行為,名單上包括來自廣州、廣西、深圳等地的中國企業。
國安部建議個人用戶應從官方應用商店等正規渠道下載安裝應用程式,切勿點擊來歷不明的廣告連結或隨意安裝彈出式視窗推送的軟件。安裝後應審慎管理應用程式權限,盡量關閉與應用程式核心服務無關的存取權限,特別是涉及位置、通訊錄、相簿等敏感資料。應用程式開發企業則應建立 SDK 全生命週期安全管理機制,優先選用已備案 SDK,在使用過程中持續監測、定期更新、及時修補漏洞。
資料來源:澎湃新聞