sdk （软件开发工具包）软件开发工具包是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的**，它可以为某个程序设计语言提供应用程序功能接口。

Andorid SDK,即为在Android系统中，为辅助移动应用软件（APP）的相关文档、工具的**。对于移动APP开发者来说，为了提高开发效率，或者引用其他三方功能如支付、扫码、注册等，往往会集成不同的第三方SDK工具包。现如今，APP开发者使用第三方SDK已经成为普遍现象，实际上，SDK作为服务提供商提供的手段，也已经成为目前主流的集成方式。例如百度地图SDK、微博登录SDK、个推SDK、腾讯Bugly、友盟SDK等，均为市面上广泛使用的SDK。

曾有相关专业IT人员对15个类别、1000多款主流App使用第三方SDK的统计分析结果显示，App使用最为广泛的第三方SDK类型为第三方登录分享类、推送类、数据统计类SDK，以及一些基础库（例如：GSON、OkHttp、EventBus等），且所有APP均使用过第三方服务提供的SDK。

图源自：https://www.luoxudong.com/225.html

尽管第三方SDK被广泛使用，可对于SDK使用者即APP开发者来说，第三方SDK是为黑盒存在，APP开发者是无法得知其中的详细代码流程及开发流程。这导致，在APP开发完毕之后，SDK成为APP开发者遗忘以及忽略的环节。

例如，今年上半年，中国某科技企业被曝光利用SDK隐瞒收集用户联系人信息、QQ登录信息、位置信息，该SDK存在于第三方商店提供的多达 12 个 Android 应用程序中，受感染的应用程序已下载至少 1.11 亿次。

通过分析，不难查看出该SDK的部分内容：

以上图片资料均源自：https://research.checkpoint.com/2019/operation-sheep-pilfer-analytics-sdk-in-action/

不难看出，由于第三方的SDK侧重于功能性，导致App开发者在使用第三方SDK时，完全忽略其安全性，使其可以搜集隐私信息，或借助合法App执行恶意操作！如果存在工具能够在集成之前进行安全审计，便可以避免使用第三方危险的SDK，保证自身SDK安全。

github项目地址： https://github.com/wulio/Coeus

python 3.x / java

安装 ：git clone https://github.com/wulio/Coeus.git

一键扫描：python coeus.py xxx.aar

相关政策代码及隐私代码检测策略，均在scrpit文件夹中，json格式便于添加与修改

相应的工具也存储在tool文件夹下

具体代码逻辑均可在项目组查看。

生成的扫描文件，输出在result文件夹下,分别有对应的log文件和输出的report.xml文件。

一键运行 python getui_2.13.3.0-gisdk_3.1.9.1-gssdk_2.3.0.0.aar

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)