无意间，总会有这样一通神秘电话，问你是否买房、是否理财、是否买保险？好不容易准备买房，打开个人征信系统，却发现多了几笔来路不明的逾期，瞬间火冒三丈。原因很简单，就是个人信息已经泄露。泄露源之一就是装在APP内的SDK插件。

今年315晚会曝光了SDK插件，现在都知道SDK插件会获取个人信息。今天小白就深入剖析SDK背后的故事，它是怎么一步步把用户信息转移到平台，到底有没有防范的措施呢？

APP如何集成SDK

SDK称作软件开发工具包，这个工具包里面有开发包、软件范例、开发文档。举个例子：我们在人工池塘钓鱼，想做一道美味的菜肴，钓完鱼后，池塘老板赠送做鱼的菜谱和菜肴样品。鱼、菜谱和样品合起来其实就是SDK。

SDK主要是帮助开发者提高开发效率。要想使用SDK插件的功能，需要调用相应API接口。相当于要想拿到池塘里的鱼，我们得用鱼竿或网。鱼竿就是API接口，开发者通过调用API接口可以轻松使用SDK内部的功能，快速完成APP开发。池塘里不同品种的鱼就是不同功能的SDK。

一般第三方SDK公司都会提供集成方法，包括快速集成和自主开发两种。移动开发者只要按照文档配置完成，即可一行代码调用“用户隐私授权”服务，两行代码实现分享、录屏等功能。

SDK如何收集个人信息

APP开发完成后需要上传到应用市场，用户才能下载使用。优质的应用市场在APP上传时，会进行SDK插件、软件权限、软件信息等安全检测。达标的APP可以发布，同时会将检测结果展示给用户。但是很多人下载APP时，都不会看这些信息。

手机应用的隐私权限统一由系统进行管理。但是很多APP的部分权限是默认开启，用户根本不用授权。用户需要授权的都是通讯录、照片读取写入等动态权限。权限一旦开启，内置的SDK插件和APP就会实时收集用户的个人信息，此时我们手机会出现短暂的发烫、卡顿或者网络延迟严重等现象。SDK收集个人信息逻辑原理如下图：

SDK插件一般会收集手机追踪、财务、用户特征、社会、思想政治、个人身份一系列信息。这些信息中很多都与用户的服务无关，例如用户的蓝牙信息、手机下载的APP名称 、个人账户、传感器信息。详细收集个人信息的汇总如下图：

如何预防SDK收集个人信息

预防SDK收集个人信息主要从应用本身、用户习惯、安全防护三个方面入手，就可以减少个人信息被收集。

下载APP时，用户应使用手机自带的应用市场，品牌手机都有自己的应用市场。下载时，尽可能选择开发者比较靠谱的APP，通过APP介绍页的应用信息、权限信息、检测信息可以准确了解下载的APP。尽可能把含有SDK插件、权限开放严重的APP 排除在外。目前集成SDK比较多的APP主要是贷款超市、理财、游戏等应用类型，315晚会曝光的50多款金融APP只是凤毛麟角。

我们使用APP要养成良好的习惯。使用APP时，要关闭和谨慎授权不必要的权限，防止SDK插件获取权限后收集信息。例如订餐APP一般不会用到通讯录和照片读写功能，我们就可以提前关闭或不必授权该权限。另外，个人比较重要的信息不要放在手机。例如身份证照片、银行卡照片等。云服务越来越受欢迎，我们应该关闭或改为手动上传内容到云端。很多用户可能为了节省手机空间，开启自动传至云端的功能，系统会自动上传所有允许内容云端，其中就包含着我们的个人信息。

安全防护可以根据个人用机习惯进行选择。不同手机机型都会内置防护软件。防护软件可以进行病毒查杀、权限检测、SDK识别等，帮助用户解决信息安全的担忧。另外，国家出台了《App违法违规收集使用个人信息自评估指南》、《信息安全法》在内保护信安全的法律法规，可以有效遏制SDK的滥用。