APP运营者为了拓宽自身的业务范围，提高自身的技术能力；或为了节约开发成本、提高工作效率，通常都会使用多种第三方的SDK。小众化的第三方SDK开发往往侧重于功能性的完善，而在安全性方面投入较少，从而导致APP使用第三方SDK时会发生许多安全问题。

首先，SDK自身安全性令人担忧。目前，有超过60%的SDK含有多种漏洞，且由于SDK被广泛使用到大量的APP中，造成漏洞的影响范围非常大。

其次，SDK普遍存在隐瞒收集用户个人信息的行为。APP对嵌入的第三方SDK未采取任何明示方式告知用户SDK收集个人信息目的、方式、范围，利用第三方SDK隐瞒收集个人信息标识、轨迹、个人偏好、网络设备信息等类型的个人信息，并向远程服务器甚至境外服务器进行回传。

最后，由于目前SDK市场缺乏监管，安全性很难保证，近期通过第三方SDK隐瞒收集个人信息的安全事件不断被曝光。

爱加密持续关注我国移动应用安全问题，全年不间断通过爱加密强大的爬虫团队从各应用商店、论坛、网盘、企业官方网站获取移动应用数据。对数据清洗和安全检测后获取移动基础资产数据，将基础资产数据存储至移动应用大数据中心，为政府和企业客户提供移动安全报告的数据支撑，协助各级政府和企业对移动应用安全事件进行监测并协调处置，取得了显著成效。

本报告依托爱加密移动应用大数据中心数据，重点对SDK使用情况及市场占有率进行分析总结，并结合移动应用安全威胁事件处置的实践成果给出建议和防范措施。

一、SDK概况

根据爱加密大数据中心提供的数据，截止4月底共计收录Android应用数据约267万条，其中超50%的APP都不同程度的使用了第三方公司提供的SDK工具包。目前大数据中心已收录SDK工具包414个，包括广告、框架、推送、统计、地图、支付、社交等类别，详见图1：

图1  SDK类别统计图

二、SDK市场占有率

（一）框架类SDK市场占有率最高

从类型上看，框架类SDK使用范围最广，市场占有率42.98%；其次是广告类，市场占有率12.86%；第三位的是社交类SDK，市场占有率11.60%。详见图2：

图2  各类SDK市场占有率

（二）AdMob广告市场占有率最高

从各个SDK市场占有率来看，AdMob广告市场占有率最高，为17.16%；其次是GSON，占有率为13.44%；排在第三位的是支付宝支付SDK，市场占有率为9.91%。详见图3：

图3 SDK市场占有率统计图

1、AdMod广告市场市场占有率

全国约有46万多款APP嵌入了这个SDK，主要集中在游戏类、生活服务类和工具类软件，合计占比84.09%。详见图4：

图4  AdMod广告市场行业市场占有率

2、GSON市场占有率

全国约有36万款APP嵌入了这个SDK，主要集中在游戏类、生活服务类和媒体类，合计占比53.89%。详见图5：

图5 GSON行业市场占有率

3、支付宝支付SDK市场占有率

全国约有27万款APP嵌入了这个SDK，主要集中在游戏类、生活服务类和购物类，合计占比65.51%。详见图6：

图6 支付宝支付行业市场占有率

4、地图类SDK中百度地图市场占有率位居第一

全国约有17万APP嵌入百度地图SDK，而高德地图SDK仅有7.9万APP嵌入了这个SDK。从这个方面来看，百度地图的市场占有率还是遥遥领先于高德地图的。详见图7：

图7  地图类SDK市场占有率

三、谨防成为SDK窃取隐私的保护伞

3月13日，世界级安全公司Check Point披露报告称，某科技公司涉嫌盗窃用户数据。报告指出，电池医生、Wi-Fi信号增强器等12款中国APP存在盗取用户通讯录数据的情况，而上述部分APP直接或间接从属于该公司。报告显示，被曝光APP迄今下载量已经超过1.11亿次，可见波及范围之广。

以上述被披露的公司为例，在下载软件的权限设置中，程序需要读取讯息、读取通讯录、发送短信、修改/删除内部媒体储存设备的内容等。且在读取用户内容后，该公司并未向用户明示，收集使用信息的目的、方式和范围。详见图8：

图8 获取权限截图

四、APP安全问题至关重要

2017年6月1日正式施行《中华人民共和国网络安全法》，其中第41条至43条明确规定了个人信息和个人隐私保护方面的内容。规定网络运营者收集、使用个人信息，应当遵循相关的法律法规，并经被收集者同意，不得向他人提供个人信息。此外，网络运营者不得收集与其提供的服务无关的个人信息。规定网络运营者不得泄露、篡改、毁损其收集的个人信息；网络运营者应当采取安全措施，确保其收集的个人信息安全。

然而实际操作中，由于取证难、执法难。存在大量APP开发企业无视法律法规，在用户使用时根本不提供隐私条款，部分APP即使有隐私条款，也是和实际采集的用户信息不匹配。大量APP存在过度采集信息，即不是他们提供服务时应获取的信息，以及大量APP在收集和使用用户个人信息时缺乏明示，且未经用户确认等情况。越权收集使用、随意操作窃取现象非常突出。

此外需引起关注的是，除被曝光的信息安全事件之外，还有较多的SDK仍存在隐蔽窃取用户信息的行为。因此作为APP开发企业，除了提高安全意识、规范自身行为以外，还应对自己所提供的APP负责，避免因SDK的恶意行为而受到牵连，避免不法分子利用自己的APP做保护套，干着违法的勾当。

从近期Android端恶意应用的作恶手法来看，恶意开发者更多地向Android应用供应链的上游转移，从直接开发APP应用转向开发SDK。通过提供恶意的SDK给应用开发者，导致给用户造成更为广泛的危害和损失。因此SDK的安全问题将成为今年乃至今后很长一段时间，政府相关部门及爱加密护航移动应用安全的首要任务。