警惕境外组织利用恶意SDK收集敏感信息 国家安全机关提示

国家安全部提示，SDK（软件开发工具包）是一套为特定软件框架、硬件平台或操作系统提供的开发工具集合，它就像一个“百宝箱”，贴心地为软件开发者提供构建应用程序所需要的半成品、工具和说明，极大地提升了工作效率。然而，便利的SDK，也可能潜藏失泄密风险。境外组织可能通过将恶意SDK嵌入到各类应用软件中，非法收集敏感信息，并远程传输至境外服务器。这种行为不仅严重侵犯公民个人隐私，更可能导致用户画像、行业数据等关键信息被境外掌控，进而对我国家安全构成现实威胁。

——来路难寻的隐蔽“后门”。境外黑客组织或敌对势力可能利用第三方SDK的安全漏洞或恶意代码进行攻击，更有甚者会直接利用SDK开发预置后门，或利用未公开的漏洞，对使用该SDK开发的应用程序进行深度渗透。用户一旦安装了此类应用，攻击者便可远程操控其设备，窃取更多重要敏感信息。

——侵犯权限的私自搜掠。有关单位通报显示，部分SDK存在违规收集使用个人信息行为，这些信息可能被用于精准用户画像与分析，进而推断出更多深层信息。个别境外SDK服务商甚至通过付费方式诱使开发者使用其服务，形成隐蔽的数据获取链条，从中牟取非法利益。

——积羽沉舟的内生隐患。随着使用第三方SDK开发的应用软件数量增加，其潜在攻击面呈几何级扩大，安全风险进一步提升。如某个通用SDK存在漏洞时，所有集成该组件的应用都将面临连锁式安全威胁，最终扩散至整个移动生态，构成系统性风险。

——个人用户。广大个人用户应从官方应用商店等正规渠道下载安装应用，切勿点击来历不明的广告链接或随意安装弹窗推送的软件。安装后，应审慎管理应用权限，尽量关闭与应用核心服务无关的访问权限，特别是涉及位置、通讯录、相册等敏感信息或资费功能，避免因权限过度开放导致个人信息泄露与财产损失。

——应用程序开发企业。应建立SDK全生命周期安全管理机制，优先选用备案SDK，严格评估功能独立性，避免无关模块捆绑，在使用过程中应持续监测、定期更新、及时修补漏洞。对集成的SDK进行来源确认和完整性校验，并持续监测SDK是否有异常行为。

——App平台供应商。应向大众准确告知SDK接入情况、权限范围、隐私政策等情况。运营期内，应主动提示运营者及时改进不符合要求的行为。合作结束后，供应商应督促本应用软件的SDK运营者退出授权，依法删除或匿名化处理用户数据。

广大公民和组织应提高警惕，阻断恶意SDK软件的非法入侵。如发现有违法使用SDK从事危害国家安全活动的问题线国家安全机关举报受理电话、网络举报平台（）、国家安全部微信公众号举报受理渠道或者直接向当地国家安全机关进行举报。

版权声明：凡注明“来源：中国西藏网”或“中国西藏网文”的所有作品，版权归高原（北京）文化传播有限公司。任何媒体转载、摘编、引用，须注明来源中国西藏网和署著作者名，否则将追究相关法律责任。

在数字化办公日益普及的今天，手机成为工作沟通的重要工具。某校校长张某未仔细查看文件内容，便将照片转发至该校教师工作群，导致文件立即在多个群扩散，造成泄密。案发后，涉事员工被依法追究刑事责任，孙某也因严重违反保密规定受到严厉处分。[详细]

近日，一份神秘的猪脚饭外卖订单引起了外卖员小王的注意，小王没有丝毫犹豫，第一时间选择了向国家安全机关报告可疑线索。[详细]

当六月的蝉鸣遇上学位帽的流苏，又一批毕业生褪去青春的稚嫩，奔赴火热的职场，人生新篇正扬帆起航。[详细]

国家安全无小事，境外间谍可能就隐藏在我们身边，利用各种身份伪装和话术陷阱，精心编织骗局，从事各类危害我国家安全的违法犯罪活动。今天，就让我们一起来揭开间谍的“N副面孔”，看看这些“伪装者”究竟是如何潜伏的。[详细]

互联网新闻信息服务许可证：违法和不良信息举报电话互联网宗教信息服务许可证：京（2024）0000004