你可能不知道SDK是啥，但你手机里的秘密它可知道……_在手机App的世界里

在手机App的世界里，法规条文里所谓的“第三方应用或服务”是个看得见摸不着的存在。但事实上，不管是你每天收到的新闻推送，还是促销活动广告，甚至短信验证码，都有可能出自第三方之手。

这些集成在App里的第三方工具包被称为SDK（Software Development Kit，软件开发工具包）。它们可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能，同时自身也具备获取相当一部分设备信息和用户个人信息的能力。

不过，由第三方SDK引入的安全问题也是显而易见的。比如开发者的安全能力水平参差不齐，可能导致SDK的安全漏洞；还有开发者会故意预留“后门”，以便收集用户信息或执行越权操作。

2015年10月，一款名为“有米”的第三方广告SDK被发现收集了用户的个人身份信息，包括Apple ID邮件地址、设备识别码，以及安装在手机上的App列表信息。最后，使用有米SDK的256款App被苹果应用商店下架。

2017年8月，同样是第三方广告SDK的“个信”被发现内置后门，在未经用户允许的情况下收集用户隐私数据，获取用户设备中全部已经安装App列表。嵌入该SDK的500多款App的总下载量超过1亿次，最终全部被Google Play下架。

你可能不知道SDK是啥，但你手机里的秘密它可知道……