7月16日晚,央视“3·15晚会”曝光,手机软件插件(SDK)可以在用户不知情的情况下盗取用户的电话号码、通讯录、短信等隐私信息。对此,工信部回应称,将立即组织北京、上海通信管理局对北京招财旺旺信息技术有限公司、上海氪星信息技术有限公司两家涉事SDK企业进行核查处理。立即组织第三方测试机构对暴露使用上述两款SDK的50余款应用进行技术测试,并尽快启动对问题应用的移除程序。
新京报贝壳财经记者发现,这并不是SDK第一次窃取用户隐私。由于开发团队众多、历史版本迭代次数多等原因,目前很多APP开发者并不知道自己的APP中集成了多少第三方SDK。但一旦某个SDK出现问题,其嵌入的所有App都将面临风险。
“近年来,APP非法收集个人信息的问题频频出现。企业往往在自身代码的开发层面关注APP个人信息安全问题,很容易忽视APP中集成的第三方SDK的安全问题。他们殊不知正是这些第三方SDK提供了便利。第三方SDK是在背后插一把刀。”邦邦安全高级安全专家谭阳对贝壳财经记者表示。
SDK插件公司回应:该技术已停用
专家:如果SDK有问题,该SDK内嵌的所有应用都会出现问题
贝壳财经记者了解到,SDK是第三方开发工具包。它们可以帮助APP高效、低成本地实现地图、支付、统计、社交、广告等一系列功能。同时,他们也有能力获取相当数量的设备信息和用户。个人信息能力。一个APP通常可以包含多个SDK。
在3月15日的聚会上,检查人员表示,上海氪星信息技术有限公司和北京招财旺旺信息技术有限公司的SDK插件涉嫌在用户不知情的情况下秘密窃取用户隐私。 “它会读取设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用程序安装列表和传感器信息后,将数据悄悄传输到指定服务器进行存储。 ”
工商信息显示,3月15日党报点名的北京招财旺旺信息技术有限公司,属于软件和信息技术服务业。成立于2016年3月10日,业务范围包括计算机系统服务、基础软件服务、应用程序等。软件服务、技术开发等。上海氪金信息技术有限公司是一家成立于2015年12月30日的大数据风控解决方案服务商,业务范围包括提供企业级风控系统和一站式征信服务面向金融机构,驱动大数据智能信用风险决策。
7月17日,上海氪星科技回应事件称,3月15日晚会上,关于移动APP使用SDK技术存在的用户隐私被保留的风险,氪星科技高度重视,已成立一个调查小组调查此问题的影响。 ,启动了内部调查。此外,声明中提到,由于内部评估了SDK技术被滥用的风险,氪科技已于2019年底前完全停止使用该技术。
3月15日的聚会上透露,有超过50个应用程序使用了涉案的SDK插件。对于SDK窃取的数据与APP之间的关系,中国信息通信研究院安全研究所数据安全研究部副主任陈田在物联网安全会上公开表示2019年召开的峰会认为,如果SDK有问题,那么SDK中嵌入的所有APP都会有问题。 ;此外,SDK“暗中”收集个人信息的问题也逐渐显现。它包括两种情况。一是APP知道SDK正在收集信息,但用户不知道;另一方面vcf通讯录编辑器软件 下载,APP和用户都不知道SDK正在收集信息。
目前,已有多家APP对此做出回应。比如,国美金融7月16日晚间回应称,国美一卡高度重视,已立即成立专门工作组,对此事进行快速调查。现将调查结果向社会公布。报道中提到的“鑫SDK插件”已于2020年1月14日从国美易卡APP下线,目前与氪信信息的所有合作已全部停止。浦发银行7月17日回应称,其手机银行APP中未使用氪星SDK插件。集团旗下上海信托是氪科技的财务投资者之一,正在了解相关情况。
SDK如何窃取您的隐私信息?
企业往往忽视第三方SDK安全问题
那么,SDK是如何窃取用户信息的呢?
7月17日,邦邦安全高级安全专家谭阳向贝壳财经记者表示,部分SDK在集成过程中会利用Android操作系统的热更新机制,伪装成普通的SDK,以逃避集成的检查。派对。应用发布后,在用户手机上运行时,通过热更新机制从SDK服务器动态加载恶意代码,窃取用户隐私数据。
谭阳表示vcf通讯录编辑器软件 下载,由于Android热更新机制在使用层面没有好坏之分,一些第三方SDK在集成过程中不会因为频繁的版本更新或者一些后门开关而触发恶意代码的分发。安装到手机后,悄悄进行热更新,并在热更新过程中植入恶意代码。
据棒棒安全全球应用监管平台统计分析,目前几乎所有APP都不同程度地集成了第三方SDK。平均每个APP集成了超过15个第三方SDK,而这些第三方SDK大多在集成过程中没有经过检查。 ,当APP发布时,恶意代码很容易最终在用户的手机上运行。
“近年来,APP非法收集个人信息的问题频频出现。企业往往在自身代码的开发层面关注APP个人信息安全问题,很容易忽视APP中集成的第三方SDK的安全问题。他们殊不知正是这些第三方SDK提供了便利。第三方SDK在背后捅刀子。为此,各监管部门出台了相应的法律法规指引,并启动了APP治理专项行动。”谭阳表示。
如何防止SDK窃取信息?
用户在APP请求权限时应仔细留意,APP也应提供明确的提醒。
对于SDK窃取用户信息的行为,APP专项治理工作组相关专家解释称,APP及APP内嵌入代码的第三方在收集、使用个人信息时需要采取适当措施通知用户。 “我们曾经使用检测工具检测到某个APP中嵌入了54个SDK,这么多的SDK是否存在个人信息泄露的风险需要提及。目前,有的APP整改后做得很好,有的APP在整改后做得很好。”都专门列出了SDK的列表,甚至列出了第三方共享的接收者,如果明确的工作做到了这种程度,相信用户对APP的信任度会大大提高。
根据《APP违法收集、使用个人信息的认定办法》,如果APP未一一列出相关收集、使用规则,或者内容晦涩、冗长、繁琐,导致用户难以识别理解,如使用大量专业术语等,仍会被视为“私自收集信息”。
这意味着,如果APP在隐私保护协议中简洁地说明其集成了哪些SDK,可以增加用户对APP内置SDK的信任。
相关专家表示,SDK窃取信息的前提还需要用户启用相应的权限。因此,用户在APP请求权限时要格外注意。此外,APP还应明确提醒用户SDK请求权限的目的以及可能存在的风险。
事实上,工信部一直在不断对APP以及APP内置的SDK进行测试和推动改进。例如,人人视频4.3.3/4.3.4版本在2019年被工信部通报称,个人信息被私下收集并与第三方共享。 、过度索赔的问题。 7月5日,贝壳财经记者下载人人视频4.8.4版本发现,其隐私政策中列出了收集个人信息的详细目的,列出了所有第三方公司的SDK列表,并公布了使用同时,除了基本的设备权限外,仅弹窗提示请求地理位置信息(但用户可以选择拒绝),已完成整改。
新京报贝壳财经记者罗一丹编辑李维嘉校对李世辉
