Bagan teratas Play melawan database lebih dari 1.000 SDK pihak ke-3. Mengkhawatirkan pengujian menunjukkan bahwa rata-rata aplikasi Android menggunakan 17 SDK seluler. Apa artinya itu adalah bahwa Anda tidak hanya perlu mempercayai pengembang aplikasi yang diberikan, oleh proxy Anda juga perlu mempercayai 17 pengembang lain dengan privasi Anda!
Anda mungkin berpikir bahwa saat mengunduh aplikasi dari Play Store, Anda menikmati kerja keras pengembang aplikasi dan tidak banyak hal lain. OK, aplikasi ini memiliki beberapa iklan, jadi mungkin ada SDK yang disematkan di aplikasi untuk itu, dan mungkin ada sesuatu untuk analisis. Dua SDK, tiga puncak. Namun, apa yang menjadi ringkasan Laporan Data SDG Data Mobile terbaru adalah pengembang aplikasi menyertakan (dengan sengaja atau bahkan tanpa sadar) puluhan SDK pihak ketiga dalam kode tersebut. Siapa yang bertanggung jawab atas apa yang dilakukan SDK ini?
Menurut SafeDK jenis SDK yang paling cepat berkembang yang digunakan adalah SDK yang terkait dengan Pembayaran, dengan lebih dari 45% aplikasi sekarang menggunakannya. Misalnya, Skubit, SDK pembayaran bitcoin, telah meroket pada kuartal terakhir, dan lebih sering digunakan daripada SDK Pembayaran "tradisional" lainnya.
Anda mungkin berpikir bahwa penggunaan SDK yang berlebihan hanya ditemukan di aplikasi yang tidak populer, yang tersembunyi di suatu tempat di sudut gelap Play Store, namun Anda salah:
Tampaknya semakin banyak unduhan aplikasi maka semakin banyak SDK yang dapat disertakan. Aplikasi dengan mana saja dari 100 juta sampai 500 juta unduhan menggunakan rata-rata 23 SDK! Hanya ketika sebuah aplikasi mematahkan hambatan penghalang 1 miliar sehingga tampaknya membutuhkan lebih sedikit SDK!
Sedangkan untuk privasi, lebih dari 50% aplikasi memiliki setidaknya satu SDK yang mencoba mengakses lokasi pengguna, satu dari sepuluh aplikasi memiliki kemampuan untuk menggunakan mikrofon perangkat dan 40% aplikasi memiliki setidaknya satu SDK yang membaca daftar aplikasi terinstal di perangkat pengguna
Yang terakhir ini menarik, mengapa SDK ini perlu mengetahui aplikasi lain yang dipasang di perangkat? Yang lebih buruk lagi adalah kemampuan untuk membaca daftar aplikasi yang terinstal tidak dilindungi oleh izin Android yang dapat ditolak pengguna, datanya harus diperebutkan oleh siapapun.
Namun, kebijakan Google Play Store menyatakan bahwa pengguna harus diberi tahu tentang kemampuan ini, paling tidak dalam kebijakan privasi. Masalah bagi pengembang aplikasi indie adalah Google tidak membedakan antara aplikasi dan aktivitas SDK pihak ketiga. Ini berarti sebuah aplikasi bisa jadi melanggar kebijakan Google dan pengembang aplikasi mungkin bahkan tidak mengetahuinya!
Apa yang kamu pikirkan? Apakah invasi SDK pihak ketiga mengkhawatirkan? Apakah Anda khawatir tentang apa yang dilakukan SDK pihak ke-3 dengan data Anda? Tolong beritahu saya di komentar di bawah ini.
