App中的SDK安全指引（征求意见稿）.docxVIP

目 录 前 言 I 声 明 II 摘 要 III 适用范围 1 第三方 SDK 概述 1 第三方 SDK 安全问题 3 第三方 SDK 自身安全漏洞 3 恶意第三方 SDK 3 第三方 SDK 违法违规收集 App 用户的个人信息 5 措施建议 5 对 App 提供者 5 对第三方 SDK 提供者 8 附录 A 常见第三方 SDK 安全漏洞 12 附录 B 第三方 SDK 告知同意 14 1.适用范围 本指引针对当前第三方SDK 使用过程中存在的第三方SDK 自身安全漏洞、恶意第三方 SDK、第三方 SDK 违法违规收集App 用户的个人信息问题，结合当前移动互联网技术及应用现状，给出了 App提供者、第三方SDK 提供者针对第三方SDK 安全问题的实践指引。 本指引适用于App 提供者和第三方SDK 提供者在使用和提供第三方SDK 时作为参考。App 提供者包括App 开发者和运营者，第三方SDK 提供者包括第三方SDK 开发者和运营者。 SDK 中又嵌入其他SDK 的，主动嵌入的一方可参考对 App 提供者的措施建议，被嵌入的一方可参考对SDK 提供者的措施建议。 2.第三方 SDK 概述 软件开发工具包（Software Development Kit，简称SDK）是指辅 助开发某一类软件的相关文档、范例和工具的集合。第三方SDK是指由第三方服务商或开发者提供的实现软件产品某项功能的工具包，通常不包括企业自己开发的仅供自己使用的通用功能模块。 当前，第三方SDK被广泛应用于各类App的开发中。按所提供的功能划分，常见的第三方SDK有框架类、广告类、推送类、统计类、地图类、社交类、支付类、客服类等（详见表1）。按来源划分，可大致分为第三方服务商提供类和开源社区提供类，开源社区提供的第 三方SDK又可分为有明确开发主体和无明确开发主体。 表 1 常见第三方 SDK 类型列表 序号 SDK 分类 功能描述 1 框架类 提供开发某一类 App 或跨平台 App 所需的整体框架。 序号 SDK 分类 功能描述 2 广告类 提供广告展示功能，通过使用广告 SDK，App 提供者可 以在 App 中展示广告商投放的广告，进而根据用户的点击赚取收益。 3 推送类 提供消息推送功能。 4 统计类 提供收集用户与 App 之间的交互行为的功能。根据用户 使用 App 的情况，开发者可以有针对性地改进 App。 5 地图类 提供地图和定位功能。 6 第三方登录 类 提供通过其他账号体系（如微博、微信、QQ）等第三方 账号登录 App 的功能。 7 社交类 提供社交功能，如消息、分享、排行等功能。 8 支付类 提供移动支付功能。 9 客服类 提供客服对话窗口、客服机器人等客服功能。 10 测试类 提供线上测试功能，如 AB 测试。 11 安全风控类 提供移动业务安全风控功能。 12 Crash 监控类 提供 App 崩溃、App 无响应、卡顿的数据收集与分析。 13 人脸识别类 提供人脸识别、活体检测等功能。 14 语音识别类 提供语音转文字等功能 15 短信验证类 提供短信验证功能。 16 基础功能类 提供 App 的基础功能，如网络访问、图片缓存等。 第三方SDK将实现特定功能的代码进行封装，向App提供者提供简单的调用接口，使App提供者不必关心所需功能的具体代码实现便能使用相关功能，极大地简化了App开发和运营的过程，提高了App开发和运营的效率。但也正因为如此，第三方SDK自身的行为具有较强的隐蔽性，其所造成的安全问题不易被察觉。此外，一款第三方SDK可能会被多款App集成，因此一旦该SDK出现安全问题，就会影响多款App及其用户。 第三方 SDK 安全问题 第三方SDK常见的安全问题可分为以下三类： 第三方 SDK 自身安全漏洞 第三方 SDK 在开发时聚焦于功能的实现，而忽视了安全性，导致SDK 本身存在安全漏洞，如常见的 SSL 通信客户端信任任意证书、 HTTPS 关闭主机名验证、Webview 忽略SSL 证书错误等（详见附录 A）。这些漏洞可能被恶意攻击者利用，对大量嵌入该 SDK 的 App及其终端用户的数据及隐私安全造成严重威胁， 例如典型的 ZipperDown 漏洞事件1。ZipperDown 漏洞是由于使用第三方Zip 库解压Zip 文件的过程中没有对Zip 内文件名做校验导致，如果文件名中含有“../”文件路径则可以实现目录的上一级跳转，从而实现 App 内任意目录的跳转，进一步可以实现文件覆盖，攻击者便可以对应用资源、代码进行任意篡改、替换，从而实现远程代码劫持等高危操作，危害应用业务场景。 恶意第三方 SDK 恶意第三方SDK是指嵌入Ap