大陆国家安全部警惕 境外SDK收集数据恐是间谍窃密
中时 李文辉
大陆官方“国家安全部”微信公号27日消息，大陆国家安全机关近年来工作发现，境外一些
别有用心的组织和人员，正在通过SDK蒐集中国大陆使用者数据和个人资讯，给大陆国家安
全造成了一定风险隐患。
SDK是Software Development Kit缩写，即软件开发套件，类型多种多样。如果把开发软件
系统比作盖房子，那只需从不同供应商选择不同功能模组拼装即可，不需从砌砖垒墙做起，
极大提高软件发展效率。
大陆官方“国家安全部”微信公号27日消息，大陆国家安全机关近年来工作发现，境外一些
别有用心的组织和人员，正在通过SDK蒐集中国大陆使用者数据和个人资讯，给大陆国家安
全造成了一定风险隐患。
SDK是Software Development Kit缩写，即软件开发套件，类型多种多样。如果把开发软件
系统比作盖房子，那只需从不同供应商选择不同功能模组拼装即可，不需从砌砖垒墙做起，
极大提高软件发展效率。
境外情报机构将SDK作为蒐集数据的重要管道。据报导，美国特种作战司令部曾向美国SDK服
务商Anomaly Six购置了“商业遥测数据来源”的访问服务，而该服务商曾自称将SDK软件植
入全球超过500款应用中，可以监控全球大约30亿部手机的位置资讯。2022年4月，有关媒体
曝光巴拿马一家公司通过向世界各地的应用程式开发人员付费的方式，将其SDK代码整合到
应用程式中，祕密地从数百万台移动设备上蒐集数据，而该公司与为美国情报机构提供网络
情报蒐集等服务的国防承包商关系密切。
如何消除SDK背后的数据风险？据大陆国内权威机构掌握，截至2022年12月，中国大陆10万
个龙头应用中，共检测出2.3万余例样本使用境外SDK，使用境外SDK应用的境内终端约有3.8
亿台。
大陆国安部分析因应之道指出，从SDK申请蒐集使用者资讯占比而言：
应用程式开发企业：应尽量选择接入经过备案认证的SDK，引入境外SDK前应做好安全检测和
风险评估，深入了解SDK的隐私政策，并利用SDK demo以及APP测试环境对SDK声明内容进行
一致性比对，并持续监测SDK是否有异常行为。
个人用户：个人使用者在使用手机应用程式时，要增强个人资讯保护意识及安全使用技能，
要选择安全可靠的管道下载使用应用程式，不安装来路不明的应用，不盲目通过敏感权限
的申请。特别是发现SDK申请与应用功能无关的权限时，需要保持高度警惕。
https://www.chinatimes.com/realtimenews/20231027001544-260409
好危险唷，台湾有在做这方面的监控吗？