据人民网报道,日前,中央网信办、工业和信息化部等四部门联合发布《关于开展2025年个人信息保护系列专项行动的公告》,对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,共发现会计云课堂、小小学英语等24款APP及SDK存在侵害用户权益行为。
如今,许多APP在安装时要求用户授予一揽子权限,从通讯录到摄像头等,形成“全有或全无”的选择困境。
APP及SDK已深入大众生活日常
移动应用程序(APP)及其软件开发工具包(SDK)已成为现代社会基础设施的重要组成部分。从清晨唤醒的闹钟应用,到通勤时使用的导航软件;从工作中的协同办公平台,到社交娱乐时的即时通讯工具;从便捷的移动支付,到智能家居的控制中心——APP已渗透到人们生活的每一个角落。据统计,截至2023年初我国在架APP数量已达258万款。
一份行业研究报告显示,被100款以上APP所集成的第三方SDK已超3万款。这些SDK如同数字世界的“螺丝钉”,将复杂的技术能力封装成简单接口,大幅降低了开发门槛,促进了移动互联网生态的繁荣。
APP隐患威胁用户信息与设备安全
SDK作为深度嵌入APP的代码模块,往往具有与宿主APP相近的权限级别,潜藏多重安全隐患。
一是系统化窃取用户隐私。例如,某阅读类APP集成的广告SDK会在后台静默收集用户安装应用列表、设备识别码、浏览记录等个人信息,并加密传输至远程服务器。
二是权限过度申请成为常态,敏感数据泄露风险加剧。例如,一款手电筒应用要求获取通讯录权限,一款计算器应用要求获取精确位置权限,这些权限与核心功能毫无关联。
三是版本更新不及时,安全风险长期固化。以某款下载量超过百万的教育类APP为例,其集成的推送SDK版本为两年前发布,存在至少3个已公开的高危漏洞。开发者对SDK更新的忽视,部分则是由于缺乏持续的安全维护机制。
多主体协同筑牢APP及SDK信息安全防线
面对APP及SDK的安全挑战,单一政策或技术手段已难以应对,必须建立多主体协同治理体系。
监管部门正在从“事后处置”向“事前预防、事中监督”转变,建立更为系统的治理框架。自2023年起,工信部已建立全国统一的移动互联网应用程序备案管理系统,要求所有APP进行备案登记,明确责任主体。
企业必须落实主体责任,建立全生命周期安全管理。应用开发企业作为安全第一责任人,需从设计源头融入安全理念。在技术层面,应严格遵循“最小必要”原则,仅申请与功能直接相关的权限,并在隐私政策中清晰说明数据收集范围和使用目的。
作为APP分发的主要渠道,应用商店是重要的“看门人”。主流应用商店已开始建立更为严格的上架审核机制,对申请上架的APP进行自动化安全检测和人工复核。
终端用户是安全链条的最后一环,也是最重要的防护节点。监管部门可联合媒体平台制作通俗易懂的科普内容,教会用户识别风险权限、管理应用权限、了解隐私设置。手机厂商可优化权限管理界面,提供更直观的风险提示。例如,小米MIUI系统会在应用请求敏感权限时,明确告知该权限可能带来的风险,帮助用户做出知情选择。
