2020年央视315曝光多个手机SDK插件窃取用户隐私，暴露了哪些问题？信息泄露有多恐怖？:虽然大多数用户还不知道SDK是什么，但是SDK早已走入我们的手机。我国四五

1

虽然大多数用户还不知道SDK是什么，但是SDK早已走入我们的手机。我国四五百万款APP，平均每个APP要用20个左右的SDK。

第三方开发的SDK功能多种多样，有的用于给用户推送消息，有的用于统计信息，甚至有的涉及私密的用户注册、支付确认、手机号认证等。

但可怕的是，SDK开发不完善甚至SDK开发者心怀不轨，都会让使用它的APP成为傀儡，危害用户隐私安全。

那么问题来了，如何避免？

国内这种环境，唯一的避免方法就是不用。但对某些软件，不用是不可能的，除非必要，勿增APP！

2

谢谢您的阅读！

最近央视315曝光了多款SDK插件窃取用户隐私的事件，在广大手机用户中掀起轰然大波，在移动设备与生活紧密结合的当下，真说不清有多少用户隐私被窃取。下面就让我来从普通消费者用户的角度，去解释清楚什么是SDK，它如何窃取用户隐私，以及作为普通用户的我们如何去防范。

SDK不是一款软件，而是插件

作为普通用户，首先要知道SDK不是一款软件，而是插件这个概念。插件就是一组功能模块，软件开发者把它的一个或多个模块整个嵌入软件里，就能实现特定的功能，而不用开发者重新开发，节省了大省开发时间和成本。打个不太贴切但能解释问题的比喻，你组装电脑需要显示功能，你只需要买一张显卡插到主板上，而无需要去从零件开始构建一张显卡。

在APP开发的实际过程中，我们会发现很多软件中都有相似的功能，连操作和界面接口都相近，就是因为他们用到了相同的SDK都实现同样的功能，比如支付、地图、翻译等。

理解这个概念，就是要认识到，央视315所曝光的SDK不是一款软件，而是插件的意思，因此你手机中没有安装一款叫“SDK”的软件，不代表就不存在风险。而SDK也不是单指某款插件，而是插件的统称（SDK,Software Development Kit，即软件开发工具包）。这些央视315曝光窃取用户隐私的是多款SDK，所有用些这几款SDK的APP都有泄漏用户信息的风险。

SDK如何窃取用户隐私？

用到这些SDK的软件，会在未经用户同意的情况下，收集设备和机主的关键信息，如IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息，然后悄悄地传送到指定的服务器存储起来。掌握这些信息，用心不良的人就可以将一台数码设备与生活中活生生的一个人（机主）挂钩，同时还掌握了机主的兴趣、消费习惯、消费能力、作息时间等，更甚至是短信记录中的一些私人敏感信息（银行卡号、私人对话等），细想之下真是恐怖致极。这里相信我不解释，读者也明白这些信息可以让立心不良的人达到什么目的。想想还有一些地下交易个人信息的行为，更无法想像假如个人信息遭到广泛传播后会造成什么影响。

普通个人用户如何去防范？

了解恶意SDK的危害后，当然就是要做好防范，千万不能让个人信息在不知情的情况下泄漏出去。这里有几点是普通个人用户都可以做到的：

1. 只从可信的渠道安装APP。 比如苹果App Store、华为应用市场等手机厂商官方的APP安装渠道，这些市场上架的APP有机器与人工的检测、审核机制，从根本上保障了用户的信息安全。
2. 安装手机端的安全软件。有很多国内手机厂商都自带了有安全扫描功能的软件，毕竟在国内的应用环境下，这个功能有一定的必要性。也可以选择第三方开发的安全软件，如某某手机管家等。
3. 不要在手机中保存敏感信息。尤其不要通过短信、微信以文字或图片形式发送敏感信息，尤其是短信数据是极其容易被其它APP读取的，只要赋予了读取信息权限的APP都可以读取短信全部内容。手机中的通讯录及信息数据，是手机上被泄露得最多的个人数据。
4. 尽量安装可信企业制作的APP。这一条其实比较尴尬，有实力的企业如BAT虽然不会使用一般企业开发的恶意SDK，但作为当今的互联网企业，有哪一家敢说没有悄悄收集过用户信息。相信不少人都经历过，浏览过包含某产品信息的网页后，打开某知名购物平台后，发现都是这个产品的推送吧。国内的APP行业个人信息安全还有很多的路要走，很多规范需要出台，才能真真正正保护我们普通用户的个人隐私安全。

您要是觉得不错就关注点个赞，让更多人看到！要是有独到的想法欢迎评论区留言一起讨论！

3

作为一名手机开发人员，跟你解释一下：SDK是干什么用的，有什么危害！

如果你要开发一个App或者一个网站，或者一个公众号、小程序。如果你要用到定位，那你就要用百度或高德的sdk。

sdk是什么？

SDK即“软体开发工具包”，一般是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具的集合。通俗点是指由第三方服务商提供的实现软件产品某项功能的工具包。

通常SDK是由专业性质的公司提供专业服务的集合，比如提供安卓开发工具、或者基于硬件开发的服务等。也有针对某项软件功能的SDK，如推送技术、图像识别技术、移动支付技术、语音识别分析技术等，在互联网开放的大趋势下，一些功能性的SDK已经被当作一个产品来运营。

开发者不需要再对产品的每个功能进行开发，选择合适稳定的SDK服务并花费很少的经历就可以在产品中集成某项功能。

SDK怎么一个存在？

sdk是要集成到手机App里面才能给用户使用，单纯的一个sdk是无法给用户使用。手机App就相当于一个宿主，sdk依附于App存在。SDK需要获取用户信息首先需要App向用户申请各种权限，App拥有了某些权限也相当于SDK拥有了这些权限，但sdk在后台干的事情可能不仅局限于说明书里面写的那些功能，比如：上面说的定位sdk可能会收集你的同学录和短信聊天记录。

怎么样避免？

根据我上面的描述，要避免sdk收集敏感信息，其实都是避免给一些App敏感信息的权限

• 不安装不明来历的app，一般从自带应用商城或官网下载APP使用。
• 不授予敏感权限，比如一个地图应用要拍照、录音权限，那你可以不授予。