大陸國家安全部警惕 境外SDK收集數據恐是間諜竊密
中時 李文輝
大陸官方「國家安全部」微信公號27日消息，大陸國家安全機關近年來工作發現，境外一些
別有用心的組織和人員，正在通過SDK蒐集中國大陸使用者數據和個人資訊，給大陸國家安
全造成了一定風險隱患。
SDK是Software Development Kit縮寫，即軟體開發套件，類型多種多樣。如果把開發軟體
系統比作蓋房子，那只需從不同供應商選擇不同功能模組拼裝即可，不需從砌磚壘牆做起，
極大提高軟體發展效率。
大陸官方「國家安全部」微信公號27日消息，大陸國家安全機關近年來工作發現，境外一些
別有用心的組織和人員，正在通過SDK蒐集中國大陸使用者數據和個人資訊，給大陸國家安
全造成了一定風險隱患。
SDK是Software Development Kit縮寫，即軟體開發套件，類型多種多樣。如果把開發軟體
系統比作蓋房子，那只需從不同供應商選擇不同功能模組拼裝即可，不需從砌磚壘牆做起，
極大提高軟體發展效率。
境外情報機構將SDK作為蒐集數據的重要管道。據報導，美國特種作戰司令部曾向美國SDK服
務商Anomaly Six購置了「商業遙測數據來源」的訪問服務，而該服務商曾自稱將SDK軟體植
入全球超過500款應用中，可以監控全球大約30億部手機的位置資訊。2022年4月，有關媒體
曝光巴拿馬一家公司通過向世界各地的應用程式開發人員付費的方式，將其SDK代碼整合到
應用程式中，祕密地從數百萬台移動設備上蒐集數據，而該公司與為美國情報機構提供網路
情報蒐集等服務的國防承包商關係密切。
如何消除SDK背後的數據風險？據大陸國內權威機構掌握，截至2022年12月，中國大陸10萬
個龍頭應用中，共檢測出2.3萬餘例樣本使用境外SDK，使用境外SDK應用的境內終端約有3.8
億台。
大陸國安部分析因應之道指出，從SDK申請蒐集使用者資訊占比而言：
應用程式開發企業：應儘量選擇接入經過備案認證的SDK，引入境外SDK前應做好安全檢測和
風險評估，深入瞭解SDK的隱私政策，並利用SDK demo以及APP測試環境對SDK聲明內容進行
一致性比對，並持續監測SDK是否有異常行為。
個人用戶：個人使用者在使用手機應用程式時，要增強個人資訊保護意識及安全使用技能，
要選擇安全可靠的管道下載使用應用程式，不安裝來路不明的應用，不盲目通過敏感許可權
的申請。特別是發現SDK申請與應用功能無關的許可權時，需要保持高度警惕。
https://www.chinatimes.com/realtimenews/20231027001544-260409
好危險唷，台灣有在做這方面的監控嗎？