软件开发包（SDK） 安全研究报告 （2021 年） 中国信息通信研究院安全研究所 深圳市腾讯计算机系统有限公司 2021 年 12 月 版权声明 本报告版权属于中国信息通信研究院和深圳市腾讯计 算机系统有限公司，并受法律保护。转载、摘编或利用其 它方式使用本报告文字或者观点的，应注明“来源：中国 信息通信研究院和深圳市腾讯计算机系统有限公司”。违反 上述声明者，编者将追究其相关法律责任。 编制说明 本报告的编制获得深圳市腾讯计算机系统有限公司以下团队的 支持，在此一并感谢（排名不分先后）： 前 言 近年来，随着移动互联产业的兴起，移动应用软件（Application， App）逐渐渗透到社会生活的各个领域，为大众提供精细化场景化服 务。在面向细分领域发展的同时，App 种类和数量呈爆发式增长， 软件开发工具包（Software Development Kit ，SDK）被广泛集成、 应用，为日益丰富的 App 功能、服务提供了技术上的解决方案。 数字经济时代下，移动应用场景迅速扩展，SDK 逐步成为移动 业务价值拓展的重要组成部分。然而，由于 SDK 具有泛用性、灵活 性等特点，一旦出现安全问题，不仅自身业务受到直接影响，也会 威胁到集成 SDK 的 App 业务安全和数据安全，严重的情况下甚至可 能影响移动应用系统生态安全。随着安全形势不断变化，SDK 的安 全合规问题已经进入各方视野，SDK 可能存在的安全漏洞、恶意行 为，以及隐藏在 App 背后不透明地收集使用个人信息等问题逐渐成 为各方关注的焦点问题。 中国信息通信研究院联合深圳市腾讯计算机系统有限公司共同 研究编制本报告，报告从场景分析、数据统计、政策标准方面分享 了 SDK 行业发展现状，对 SDK 行业面临的合规风险、安全风险进 行了分析，面向 SDK 及 App 开发者提出了安全措施建议，并从实践 角度分享案例和经验，为促进 SDK 行业生态的健康发展提供参考。 移动互联产业仍处于蓬勃发展阶段，移动应用生态安全亟需多 方共同协作努力，报告不足之处欢迎批评指正。 目 录 一、 SDK 行业发展现状............................................................................................. 1 (一) SDK 应用广泛，行业发展持续活跃............................................................ 1 (二) 政策标准逐步明晰，为 SDK 安全落地提供导向...................................... 8 二、 SDK 的合规风险............................................................................................... 10 (一) SDK 收集使用个人信息的合规风险分析.................................................. 10 (二) SDK 个人信息安全合规要求的总结.......................................................... 12 三、 SDK 的安全风险............................................................................................... 15 (一) SDK 的安全漏洞问题不容忽视.................................................................. 15 (二) SDK 的恶意行为带来隐藏风险.................................................................. 18 四、 面向开发者的安全措施建议............................................................................ 22 (一) 面向 SDK 开发者........................................................................................ 22 (二) 面向 App 开发者..........................................................................................23 附录一 SDK 安全实践............................................................................................... 25 (一) 信通院发起 SDK 安全专项行动................................................................ 25 (二) 腾讯探索 App 及 SDK 合规解决方案........................................................27 附录二 SDK 安全关键技术....................................................................................... 32 (一) SDK 研发环境.............................................................................................. 32 (二) SDK 安全防护技术...................................................................................... 32 (三) SDK 安全检测技术...................................................................................... 33 附录三 常见 SDK 安全风险...................................................................................... 34 图 目 录 图 1 各类 App 平均集成 SDK 数量.........................................................................6 图 2 集成次数较多的第三方 SDK 类型分布..........................................................7 图 3 第三方 SDK 各类敏感行为统计......................................................................7 图 4 SDK 安全漏洞类型占比.................................................................................16 图 5 恶意 SDK 动态更新后隐蔽执行恶意行为....................................................21 图 6 新型物联网 SDK 黑产....................................................................................21 图 7 SDK 安全专项行动评测范围.........................................................................25 图 8 评测流程..........................................................................................................26 图 9 腾讯云移动合规检测平台..............................................................................28 图 10 平台检测示例 1.............................................................................................28 图 11 平台检测示例 2.............................................................................................29 表 目 录 表 1 常见 SDK 类型及典型供应商..........................................................................2 表 2 部分 SDK 合规相关要求................................................................................13 表 3 典型 SDK 恶意行为........................................................................................19 软件开发包（SDK）安全研究报告（2021 年） 近年来，随着移动互联产业的兴起，移动应用软件（App）逐渐 渗透到社会生活的各个领域，成为线上线下数据交汇的重要节点。根 据工信部《2021 年上半年互联网和相关服务业运行情况》监测数据， 截至 2021 年 6 月底， 我国国内市场上监测到的 App 数量为 302 万款。 其中，本土第三方应用商店 App 数量 166 万款，苹果商店（中国区） App 数量 136 万款1。在数量迅速增长的同时，App 也进入了精细化