界面科技|315晚会曝手机App安全隐患:内嵌SDK插件盗取用户隐私
采访人员 | 李晨
编辑 |
1
在今年的央视315晚会上 , 一些手机应用中存在的第三方SDK插件被曝出存在窃取用户信息的情况 。
SDK的全称为software development kit(软件开发工具包) , 它是集成在手机App里的第三方工具包 , 可以理解为手机的组装模块 。 通过SDK手机App得以低成本地实现很多功能 , 比如地图 , 支付 , 社交 , 广告等 。 此外 , SDK还可以有效减少程序员的工作量 , 降低软件的开发难度 , 但同时可能会存在一些安全隐患问题 。
本文插图
图片来源:央视315晚会
据315晚会报道 , 2019年11月 , 在上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行测试的时候 , 就发现一些SDK里存在的问题 。
技术人员一共检测了50多款手机软件 , 这些软件中分别包含了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的SDK插件 。 而这两个公司的插件 , 都存在在用户不知情的情况下 , 私自窃取用户隐私信息的问题 。 涉及到的手机APP达50多款 , 包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城等 。
【界面科技|315晚会曝手机App安全隐患:内嵌SDK插件盗取用户隐私】
本文插图
本文插图
存在问题的APP 图片来源:央视3·15晚会
据检测人员介绍 , 这两家公司的SDK会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息 。 且在这些隐私信息读取完成后 , 还会悄悄地将数据传送到指定的服务器存储起来 。 北京招彩旺旺信息技术有限公司的SDK , 甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件 , 窃取用户更加隐私的信息 。
本文插图
SDK可能收集的用户信息 图片来源:央视3·15晚会
检测人员警告称 , 因为SDK能够收集用户的短信 , 以及应用安装信息 , 一旦用户有网络交易的验证码被获取 , 极有可能造成严重的经济损失 。
此外 , 315晚会报道称 , 虽然SDK只是一个看似普通的插件 , 但是因为它对所有的手机App具有通用性 , 很多手机软件可能都嵌入了同一个SDK , 因此一旦某个SDK窃取了用户个人隐私 , 将会涉及众多手机软件 。 在此次检测当中除了内嵌SDK插件以外 , 工作人员还发现一些知名手机App也有收集用户隐私的现象 , 涉及酷音铃声、手机铃声、铃声大全等多款软件 。
实际上 , 这并非是SDK第一次被曝出存在违规获取用户隐私的问题 。 早在2019年9月15日 , 国家计算机病毒中心发布的《移动App违法违规问题及治理举措》中 , 就指出了App和SDK存在的六大类问题 , 包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等 。
除此之外 , 在知乎上 , 也一直有软件开发领域的相关从业人员呼吁要重视SDK侵犯用户隐私的问题 , 但一直未引起公众重视 。 而此次315晚会的曝光 , 再次将相关问题由幕后推向了前台 。
据天眼查显示 , 上海氪信信息技术有限公司已经完成多轮融资 , 公司投资方包含浦发银行上海信托、上海金浦、墨白资本等;北京招彩旺旺信息技术有限公司旗下产品为招财狗 , 已融资至天使轮 , 投资方包括晟道投资、真格基金 。 两家公司所提供的服务均包含计算机的软件开发服务等 。 截止发稿时 , 两家公司都尚未对央视的曝光予以任何回应 。
推荐阅读
- 2020|影谱科技入选“2020中国AI商业落地价值潜力100强榜单”
- 行业互联网|眼控科技聚焦航空气象报文,人工智能助推编发自动化
- 行业互联网|金风科技中标哈萨克斯坦札纳塔斯二期100MW风电项目
- 无人科技,电池技术|盘点几种常见的无人机电池
- 行业互联网,智慧医疗|商汤科技创“心”升级,探索“联邦学习”入选ECCV
- 行业互联网|创盈Charmwin惊艳亮相2020上海美博会,打造“光”科技健康护肤新风尚
- 科技圈|集成灶两大品牌厨壹堂教你解锁三伏天厨房的正确打开方式
- 黑科技|花两万块钱买一台大法电视是一种怎么样的体验?
- 北京|北京嘀嘀无限科技发展有限公司因涉嫌非法聘用外国人被行政处罚
- 和讯科技|乐视退最后交易日报0.18元/股 明日将被正式摘牌