國安部周二（2日）發文稱，要警惕境外組織利用惡意SDK（軟件開發工具包）嵌入應用軟件，收集敏感信息，進而對國家安全構成現實威脅。

文章指，SDK是一套為特定軟件框架、硬件平台或操作系統提供的開發工具集合，如同一個「百寶箱」，貼心地為軟件開發者提供構建應用程序所需要的半成品、工具和說明，極大地提升了工作效率。然而，便利的SDK，也可能潛藏失洩密風險。境外組織可能通過將惡意SDK嵌入到各類應用軟件中，非法收集敏感信息，並遠程傳輸至境外服務器。這種行為不僅嚴重侵犯公民個人私隱，更可能導致用戶畫像、行業數據等關鍵信息被境外掌控，進而對國家安全構成現實威脅。

文章提到三點潛在威脅。一是來路難尋的隱蔽「後門」。境外黑客組織或敵對勢力可能利用第三方SDK的安全漏洞或惡意代碼進行攻擊，更有甚者會直接利用SDK開發預置後門，或利用未公開的漏洞，對使用該SDK開發的應用程序進行深度滲透。用戶一旦安裝了此類應用，攻擊者便可遠程操控其設備，竊取更多重要敏感信息。

二是侵犯權限的私自搜掠。有關單位通報顯示，部分SDK存在違規收集使用個人信息行為，這些信息可能被用於精準用戶畫像與分析，進而推斷出更多深層信息。個別境外SDK服務商甚至通過付費方式誘使開發者使用其服務，形成隱蔽的數據獲取鏈條，從中牟取非法利益。

三是積羽沉舟的內生隱患。隨著使用第三方SDK開發的應用軟件數量增加，其潛在攻擊面呈幾何級擴大，安全風險進一步提升。如某個通用SDK存在漏洞時，所有集成該組件的應用都將面臨連鎖式安全威脅，最終擴散至整個移動生態，構成系統性風險。

文章強調，要堵住SDK「木馬」竊密通道。其中，廣大個人用戶應從官方應用商店等正規渠道下載安裝應用，切勿點擊來歷不明的廣告鏈接或隨意安裝彈窗推送的軟件。安裝後，應審慎管理應用權限，盡量關閉與應用核心服務無關的訪問權限，特別是涉及位置、通訊錄、相冊等敏感信息或資費功能，避免因權限過度開放導致個人信息洩露與財產損失。

應用程序開發企業應建立SDK全生命周期安全管理機制，優先選用備案SDK，嚴格評估功能獨立性，避免無關模塊捆綁，在使用過程中應持續監測、定期更新、及時修補漏洞。對集成的SDK進行來源確認和完整性校驗，並持續監測SDK是否有異常行為。

APP平台供應商則應向大眾準確告知SDK接入情況、權限範圍、隱私政策等情況。運營期內，應主動提示運營者及時改進不符合要求的行為。合作結束後，供應商應督促本應用軟件的SDK運營者退出授權，依法刪除或匿名化處理用戶數據。

國家安全機關提示，廣大公民和組織應提高警惕，阻斷惡意SDK軟件的非法入侵。如發現有違法使用SDK從事危害國家安全活動的問題線索，可通過12339國家安全機關舉報受理電話、網絡舉報平台（www.12339.gov.cn）、國家安全部微信公眾號舉報受理渠道或者直接向當地國家安全機關進行舉報。