江苏龙网

  1. 首页 > 人文 > >

新京报|央视曝光的手机SDK是怎么窃取你的隐私的?


新京报|央视曝光的手机SDK是怎么窃取你的隐私的?
本文插图

7月16日晚 , 央视3?15晚会曝光了手机软件插件(SDK)在用户不知情的情况下窃取用户电话号码、通讯录、短信等隐私信息 。 对此 , 工信部回应称 , 立即组织北京、上海通信管理局对涉事两家SDK企业 , 北京招彩旺旺信息技术有限公司和上海氪信信息技术有限公司进行核查处理 。 立即组织第三方检测机构对曝光使用上述两家SDK的50余款APP进行技术检测 , 对存在问题的APP第一时间启动下架程序 。
***贝壳财经采访人员发现 , SDK窃取用户隐私的现象并非首次 , 由于开发团队人员众多及历史版本迭代多等原因 , 目前许多APP开发者并不清楚自己的APP中到底集成了多少第三方SDK , 但一旦某一款SDK出现了问题 , 那么它所嵌入的所有APP都会面临风险 。
“近年来 , APP个人信息违规采集问题频现 , 企业往往将APP个人信息安全问题聚焦在自身代码的开发层面 , 很容易忽视APP中集成的第三方SDK安全问题 , 殊不知正是这些提供便利的第三方SDK正在背后插刀 。 ”梆梆安全资深安全专家谭阳对贝壳财经采访人员表示 。
SDK插件公司回应:已停用技术
专家:如果SDK有问题 , 凡是嵌入SDK的APP都存在问题
贝壳财经采访人员了解到 , SDK即第三方开发工具包 , 它们可以帮助APP高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能 , 同时自身也具备获取相当一部分设备信息和用户个人信息的能力 。 一款APP内通常可以包含多个SDK 。
3?15晚会上 , 检测人员表示 , 上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的SDK插件有在用户不知情的情况下 , 偷偷窃取用户隐私的嫌疑 , “它会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息 , 读取完成后 , 还会悄悄地将数据传送到指定的服务器存储起来 。 ”
工商信息显示 , 此次3?15晚会报道点名的北京招彩旺旺信息技术有限公司属于软件和信息技术服务业 , 成立于2016年3月10日 , 经营范围包括计算机系统服务、基础软件服务、应用软件服务、技术开发等 。 上海氪信信息技术有限公司是一家大数据风控解决方案服务商 , 成立于2015年12月30日 。 其经营范围包括为金融机构提供企业级的风控系统和一站式信用服务、驱动大数据智能化的信贷风险决策等 。
7月17日 , 上海氪信针对该事件作出回应称 , 3?15 晚会关于手机APP利用SDK 技术造成用户隐私可能被留存的风险 , 氪信科技高度重视 , 就这一问题的影响已经成立调查小组 , 内部启动调查 。 此外 , 声明中提到 , 因内部评估SDK技术有被滥用的风险 , 在2019年年底前 , 氪信科技就已完全停用该技术 。
3?15晚会曝光 , 有50多款APP使用了涉事SDK插件 。 对于SDK偷取数据与APP的关系 , 中国信通院安全研究所数据安全研究部副主任陈湉曾在2019年举办的物联网安全峰会中公开表示 , 如果SDK存在问题 , 则凡是嵌入SDK的APP都存在问题;此外 , SDK“隐蔽”收集个人信息的问题逐渐显现 , 它包括两种情况 , 一是APP知道SDK在收集信息 , 而用户不知道;另一方面 , APP和用户都不知道SDK在收集信息 。
截至目前 , 已有多家APP对此进行了回应 。 如国美金融7月16日晚回应称 , 国美易卡高度重视 , 第一时间已成立特别工作小组 , 对此事已经展开迅速排查 , 现将排查结果向广大公众通报 , 报道中提到的“氪信SDK插件” , 已于2020年1月14日从国美易卡APP下线 。 目前已经全面停止与氪信一切合作 。 浦发银行7月17日回应称 , 未在手机银行APP使用氪信SDK插件 , 集团子公司上海信托作为氪信科技的财务投资人之一 , 正在了解相关情况 。
SDK如何窃取了你的隐私信息?
企业容易忽视第三方SDK安全问题
那么 , SDK是怎么窃取用户信息的?
7月17日 , 梆梆安全资深安全专家谭阳对贝壳财经采访人员表示 , 部分SDK会采用Android操作系统的热更新机制 , 在集成环节伪装成正常SDK , 逃避集成方的检查 , 而在应用发布后运行在用户手机时 , 通过热更新机制从SDK的服务端动态加载恶意代码 , 窃取用户的隐私数据 。
谭阳称 , 由于Android热更新机制在使用层面不存在好坏之分 , 部分第三方SDK由于版本更新频繁 , 或存在一些后门开关 , 在集成环节并不触发恶意代码的下发 , 而是在用户安装在手机中之后悄悄进行热更新 , 在热更新过程中植入恶意代码 。
据梆梆安全全球应用监管平台统计分析 , 目前几乎所有APP均不同程度集成了第三方SDK , 平均每个APP集成的第三方SDK在15个以上 , 而这些第三方SDK在集成环节大多未经查验 , 很容易导致恶意代码随APP发布而最终运行在用户手机上 。
“近年来 , APP个人信息违规采集问题频现 , 企业往往将APP个人信息安全问题聚焦在自身代码的开发层面 , 很容易忽视APP中集成的第三方SDK安全问题 , 殊不知正是这些提供便利的第三方SDK正在背后插刀 。 为此 , 各监管部门出台了相应的法律法规指导 , 并开展了APP专项治理行动 。 ”谭阳表示 。
如何防止被SDK窃取信息?
用户在APP索取权限时要细心留意 , APP也应明示提醒
对于SDK窃取用户信息的行为 , APP专项治理工作组有关专家解读称 , APP和APP中嵌入代码的第三方收集使用个人信息 , 都需要采取适当方式通知用户 。 “我们曾使用检测工具检测到一款APP中嵌入了54个SDK , 这么多SDK有没有个人信息泄露的风险 , 这些都要提 。 目前有一些APP在整改后就做得很到位 , 有些专门列出了SDK的列表 , 甚至把第三方共享的接收方都列出来了 , 如果把明示工作做到这个程度 , 相信用户也会对APP的信任度有很大的提升 。
根据《APP违法违规收集使用个人信息行为认定方法》 , APP若未逐一列出有关收集使用规则 , 或者内容晦涩难懂、冗长繁琐 , 用户难以理解 , 如使用大量专业术语等 , 仍然会被认为是“私自收集信息” 。
这意味着 , APP若在隐私保护协议中简明扼要的写明其集成了哪些SDK , 就可以增加用户对APP内置SDK的信任 。
有关专家表示 , SDK窃取信息的前提也需要用户开启相应权限 , 因此用户应当在APP索取权限时细心留意 , 此外APP也应对SDK索取权限的目的、可能产生的风险等对用户进行明示提醒 。
事实上 , 工信部一直在持续对APP以及APP内置的SDK进行检测以及推进改进 , 如人人视频4.3.3/4.3.4版曾在2019年被工信部通报存在私自收集个人信息、私自共享给第三方、过度索权问题 。 7月5日 , 贝壳财经采访人员下载了人人视频4.8.4版后发现 , 其在隐私政策中列出了收集个人信息的详细用途 , 并列出了所有第三方公司的SDK名单 , 公布了使用目的 , 同时除了基本设备权限外仅弹窗提示索取了地理位置信息(但用户可选择拒绝) , 完成了整改 。
【新京报|央视曝光的手机SDK是怎么窃取你的隐私的?】***贝壳财经采访人员 罗亦丹 编辑 李薇佳 校对 李世辉


    推荐阅读


    上一篇:吴卓林染回黑色头发,妻子依旧时髦,母亲吴绮莉看透人生不生怨气

    下一篇:冷暖自知的穿戴式空调,简直就是神器!