央视315晚会后,你不得不防的梁上君子!

数据观  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

7月16日晚,延期四个月的的央视315晚会拉开曝光大幕,宝骏汽车、趣头条、嗨学网、汉堡王、万科等被央视点名。特别值得关注的是,信息安全问题再次上榜,引发全网热议。

晚会提到,2019年11月,上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行了专门的测试,却发现一些SDK暗藏玄机。调查发现,某些SDK插件存在未经用户许可,窃取用户手机中短信、通讯录等个人隐私信息,尤其是短信内容会被全部传走。这些内嵌SDK插件的应用存在于50余款手机APP当中,涉及金融现金贷类的APP成为重灾区,数量占比过半。

  ▲央视315晚会曝光的问题软件

  窃贼插件:

转走你的全部短信

包括网络交易验证码!

手机应用软件(APP)超范围收集用户个人信息是老生常谈。但更让人想不到的是,某些手机应用软件里还暗藏另外一个窃贼--由第三方公司提供的插件(被称为SDK包)。

SDK,是在手机软件中,提供某种功能或服务的插件。

技术人员检测了50多款手机软件,这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺有限公司,在用户不知情情况下偷偷窃取用户信息。50多款手机软件包括国美易、家长帮等app。

这些APP的SDK首先读取用户信息。读取完成后,还会悄悄将数据传送到指定服务器存储起来,除了电话号码通讯录以外,北京招财旺旺甚至涉嫌通过多款软件窃取用户更加隐私的信息。

检测人员表示,SDK收集用户联系人、短信、位置、设备信息等,将短信内容全部传走。这部手机中存在的真实的短信记录,号码是谁,短信内容是什么,都可以很清晰地看到。

上海市消费者权益保护委员会 副主任兼秘书长陶爱莲表示:“测试当中我们发现SDK插件,没有经过用户的许可来窃取消费者手机当中的一些,比如说像短信的内容 。”

央视315晚会后,你不得不防的梁上君子!

央视315晚会后,你不得不防的梁上君子!

检测人员说:“它会读取这部设备的IMEI、IMSI、运营商信息 、电话号码、短信记录、通讯录、应用安装列表、传感器信息,这些都属于用户隐私的东西,它去读。”

除了电话号码、通讯录这样的个人隐私,北京招彩旺旺信息技术有限公司的SDK,甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件,窃取用户更加隐私的信息。

检测人员:“会未经用户同意,收集用户的联系人、短信、 位置、设备信息等等。尤其短信,短信内容被全部传走,这个是很严重的。这是我这部手机中,存在的真实的短信记录。它的下行号码是谁,它的短信内容是什么,都可以很清晰地看到。”

“您好我是陈思” “验证码为903474,请勿告知他人” 等等,用户如此重要而私密的信息就这样被传送到第三方服务器,检测人员介绍,因为SDK能够收集用户的短信,以及应用安装信息,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。

此外,虽然SDK只是一个看似普通的插件,但是因为它对所有的手机APP具有通用性,很多手机软件可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人隐私,将会涉及众多手机软件。

央视315晚会后,你不得不防的梁上君子!

检测人员:这些SDK会分别嵌在不同的APP中,这样涉及的量就比较大了 。

在此次检测当中除了内嵌SDK插件以外,工作人员还发现一些知名手机APP也有收集用户隐私的现象。涉及酷音铃声、手机铃声、铃声大全、火花来电、彩铃大全等多款软件。

  扒 皮 起 底

天眼查数据显示,上海氪信信息技术有限公司成立于2015年12月,公司经营范围包括信息科技领域内的技术开发、技术转让、技术咨询、技术服务;计算机系统集成;计算机软硬件及辅助设备的开发与销售等。该公司有包括氪信机器学习模型性能监控工具软件36条软件著作权。股东信息显示,该公司的股东中包括了真格基金、深圳市招商局创新投资基金中心(有限合伙)、上海火山石一期股权投资合伙企业(有限合伙)等。

北京招彩旺旺信息技术有限公司成立于2016年3月,经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务;计算机系统服务;基础软件服务;应用软件服务;承办展览展示活动;企业管理咨询;经济贸易咨询;设计、制作、代理、发布广告;销售自行开发后的产品等。另外,北京招彩旺旺信息技术有限公司有包括疫评测app在内的7条软件著作权。股东信息显示,该公司第一大股东为施侃,持股比例60.27%;第二大股东为冯天放,持股比例12.41%。股东中还有宁波梅山保税港区晟能投资管理合伙企业(持股11.19%)等。

  手机App的灰色地带

App嵌入SDK的做法在业内十分普遍,对于企业来说,软件开发企业引入第三方SDK,不仅可以降低开发难度,还可以减少开发成本。对于用户来说,SDK则可以使用到软件中的各种便捷服务。

一般来说,SDK 会违规采集五类与服务无关的数据:蓝牙信息、传感器信息、各类 App 的信息、移动设备的程序任务信息、移动设备的账户信息等。

采集蓝牙信息,是为了识别设备,而采集到成功配对的蓝牙设备信息,则是为了获得与移动设备通过蓝牙通信的另一移动设备的信息;

采集传感器信息,是为了充实所谓的“数据库数据量”;

采集各类 App 的信息,则可以获知用户设备中各类 APP 应用的信息。如果数据量庞大,还能推算出某一 App 的市场占有率,同时还能通过 App 应用列表信息,查看用户使用习惯;

采集移动设备的程序任务信息,是为了得知设备中其他应用的日启动次数、日启动时长,同样属于侵犯用户隐私的行为;

采集移动设备的账户信息,可以获取用户账户列表,并能将移动设备信息与用户账号关联,从而对设备进行唯一标识。该数据采集的风险较大,假如用户账号被泄露或者被克隆,很有可能给用户带来金钱损失乃至其他更严重的损失。

随着智能手机和信息技术的不断发展,各类App功能不断的完善及更新,使App运营商在向用户提供服务的过程中,有条件获得更多的个人信息,从而为用户提供最大限度的便捷。然而,这个特性是一把双刃剑,在不断提高用户使用体验的同时,也给用户的个人信息安全带来巨大隐患。其中,最为隐晦的操作就是过度索取用户个人信息。

在智能手机中,App软件的法规条文里所谓的“第三方应用及服务”其实是个看得见摸不着的存在,不过想获得一些便利的功能却离不开它,比如收到的App消息,推送的新闻,搜索相关的广告等,出于这些原因使SDK成为了App中的灰色地带。

这些集成在App里的第三方工具包(SDK),帮助App实现一些便捷功能的同时也具备一些捕获设备信息和用户信息能力,比如:电话、定位、录音等个人信息。

新版《个人信息安全规范》已于今年初正式发布,10月1日起正式实施。其中增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等内容。

在新的规定中,SDK收集个人信息是需要经过用户授权同意的。但据不完全统计,市面上有至少三成的SDK或隐瞒收集用户个人信息。更有甚者,一些第三方的工具包开发者会故意预留“后门”,以便收集用户信息或执行越权操作。

   如何预防第三方 SDK 窃取信息?

2019 年 6 月 1 日,全国信息安全标准化技术委员会发布《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》(下称《规范》),针对 16 类 App 常用的基本业务功能界定了必要信息的范围。

由于 SDK 在实际行为中能够获取的权限和收集的信息,通常会受到宿主 App 的限制,因此,理论上 SDK 收集用户个人信息也应达到《规范》的要求。

需要特别强调的是,获取其他信息并不代表违规,根据相关法律法规的要求,获取这些信息前、需要弹窗询问用户是否同意,如果用户点击“不同意”,也不能影响 App 核心功能的使用。所以,用户在安装软件时最好仔细阅读相关的权限要求谨慎开启相关权限。

此外,在软件开发时,一些有经验的高级开发者,会通过对 SDK 进行逆向操作、以及代码进行扫描,来获知 SDK 进行了哪些操作、采集了哪些隐私数据。

不过,现在 App 加固技术也在不断更新,逆向的难度也越来越高,所以多数开发者很难去判断第三方 SDK 做了哪些违规操作。因此建议开发者,尽可能选择有一定市场基础的第三方 SDK,以及尽量沿用 App Store 和 Google Play 里的 App 选用的 SDK 进行集成,这样可以大大降低 App 被下架的风险。

对于用户来说,切不可因为麻木,而对违规现象 “习以为常”,该举报时还是应该及时按下举报电话。每年“315” 晚会上的很多案例,均来自用户举报或用户曝光。只有大家都行动监督起来,不正之风才可以止住。

   工信部:严厉查处!

7月17日,工信部网站发布消息称,要求严厉查处“3·15”晚会曝光的信息通信领域违规行为。

工业和信息化部高度重视用户权益保护工作,始终坚持以人民为中心的发展思想,严厉打击违法违规收集使用用户个人信息的行为。

针对7月16日央视播出“3·15”晚会报道的SDK违规收集用户个人信息的问题,工业和信息化部第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业。

一是立即组织北京市、上海市通信管理局对涉事两家SDK企业,北京招彩旺旺信息技术有限公司和上海氪信信息技术有限公司进行核查处理。

二是立即组织第三方检测机构对曝光使用上述两家SDK的50余款APP进行技术检测,对存在问题的APP第一时间启动下架程序。

三是立即启动应用商店联动处置机制,责成阿里、腾讯、百度、华为、小米、OPPO、vivo、360等国内主要应用商店,第一时间对类似问题进行“地毯式”排查,对发现问题一律第一时间予以下架,同时要求应用商店及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。

自去年11月工业和信息化部启动APP侵害用户权益专项整治行动以来,共检测超过8万余款APP,推动8000余款APP自查整改,对478家存在问题的企业下发整改函,治理取得初步成效,但目前仍存在部分企业主体责任落实不到位的情况。下一步,工业和信息化部将采取常态化监管措施,加强移动互联网应用程序APP综合治理。集聚产业力量,推动技术手段建设,大幅提升技术检测水平。加强监督检查,加大对各类违规行为的处置和曝光力度,对未经用户同意收集使用用户个人信息等违规行为,依法予以查处,切实维护用户合法权益。

责任编辑:姚治

随意打赏

提交建议
微信扫一扫,分享给好友吧。