汉华信安 | 第三方SDK合规问题的解决之道
2022年2月18日,工信部发布了《关于侵害用户权益行为的APP通报(2022年第1批,总第21批)》,检测发现尚有107款APP未完成整改。同时,检测过程中发现,13款内嵌第三方软件开发工具包(SDK)存在违规收集用户设备信息的行为。
据统计,平均每款App嵌入的SDK个数是13.36,也就是说,平均1款App就嵌入了接近14个SDK,App研发企业目前只能通过隐私政策的方式对SDK进行了解,企业没有对应的技术手段、检测思路以及动力对集成的第三方SDK进行检测,来发现SDK实际的个人信息收集行为是否与隐私政策中描述的一致,从而在集成之前就发现SDK的合规问题,减少App由于集成了不合规的第三方SDK而被通报的风险。
据统计,平均每款App嵌入的SDK个数是13.36,也就是说,平均1款App就嵌入了接近14个SDK,App研发企业目前只能通过隐私政策的方式对SDK进行了解,企业没有对应的技术手段、检测思路以及动力对集成的第三方SDK进行检测,来发现SDK实际的个人信息收集行为是否与隐私政策中描述的一致,从而在集成之前就发现SDK的合规问题,减少App由于集成了不合规的第三方SDK而被通报的风险。
按照通报来看,集成了这13款SDK的宿主App应该是具有合规风险的,宿主App为了防止风险需要进行自我整改,在整改过程中目前无外乎四个方案:一、等待被通报SDK的更新,被通报SDK整改完成后替换合规的SDK;二、删除被通报的SDK,使用其它同功能的SDK进行替换;三、删除被通报的SDK,自主研发相同功能;四、删除被通报SDK,不使用对应的功能。这就引出了以下几个问题:
● 等待被通报SDK完成整改,宿主App完全不能掌控,在未更新之前App将一直处于风险中。
● 采用相同功能的SDK进行替换,这个替换上来的SDK是否也存在合规风险?
● 自主研发相同功能,研发周期、研发成本将会有巨大的投入,研发完成以后是否能达到功能替换效果,也是未知数。在研发完成之前,App还是处于风险中。
这几个解决方案就感觉像给孩子洗澡,洗完澡以后,把脏水和孩子一块儿倒了。难道就没有只倒脏水,保留孩子的解决方案吗?答案是有的。
动态行为拦截技术是目前已知的最能够快速解决App合规性问题的一种技术。它能实现,运行时对App中未知权限使用的拦截和App中未知个人信息收集行为的拦截,拦截率为100%。应用该技术后,您无需对违规收集的SDK进行整改,可以放心的使用SDK对业务有帮助的功能,违规收集行为会被动态行为拦截技术给拦截下来。此项技术的最大特点是通过拦截的方式快速完成合规性能力提升,让App拥有技术手段来控制个人信息的收集行为。
最后,App合规技术能力主要体现为,集成之前的事前审查和运行时刻的动态行为拦截。运行时刻的动态行为拦截技术,更能够从业务场景的角度来规划个人信息的收集,更有效和可控的掌握个人信息收集的时机、频率,能够让App合理合法的收集个人信息。
( 本文作者:北京汉华飞天信安科技有限公司 彭根 )