防不胜防!手机 App 又背着你干“坏事”,央视曝光 50 余款 App 的 SDK 插件窃取用户信息,网友:必须严查
科技发展至今日,我们的隐私安全依旧无处遁形。
315 曝光 50 余款 App 的窃贼插件
昨天,在因疫情迟来的 315 晚会上曝光了一些手机应用中存在第三方 SDK 插件,窃取用户信息的情况。这些违规插件不仅可以将你的短信全部传走,甚至包括网络交易验证码也不在话下。
据 315 晚会报道,2019 年 11 月,在上海市消费者权益保护委员会委托第三方公司对一些手机软件中的 SDK 插件进行测试的时候,就发现一些 SDK 里存在的问题。
SDK 是 Software Development Kit 的缩写,即"软件开发工具包",一般来说,SDK 可以实现安卓开发工具、广告推送、图像识别或移动支付等功能。通过 SDK 插件,App 开发者不再需要针对每项功能进行开发,极大缩短了产品的开发周期。
技术人员一共检测了 50 多款手机软件,这些软件中分别包含了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的 SDK 插件。而这两个公司的插件,都存在在用户不知情的情况下,私自窃取用户隐私信息的问题。涉及到的手机 App 达 50 多款,包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城等。
据介绍,这两个插件会读取这部设备的 IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息。
你以为这就完了吗,更可怕的是,这些 App 里的 SDK 在读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。
细思极恐!吓得我赶快删掉了所有短信。
此外,检测人员也指出:
“虽然 SDK 只是一个看似普通的插件,但是因为它对所有的手机 App 具有通用性,很多手机软件可能都嵌入了同一个 SDK,因此一旦某个 SDK 窃取用户个人隐私,将会涉及众多手机软件。”
对此,网友也直呼:“大数据时代,我们居然毫无安全可言”。
从人脸识别 5 毛起售再到被 App 私自窃取信息,我们的隐私安全到底应该如何谈起,这一话题也在知乎引起热议。
SDK 插件是怎么窃取用户隐私的?
正如上文所说,卸载 App 也并不是万全之策,所以,大家更好奇的还是 SDK 插件如何窃取隐私的?
回答这个问题之前,我们先了解下 SDK 插件的信息收集情况。
根据南都此前发布的《常用第三方 SDK收集使用个人信息测评报告》(以下简称《报告》)显示:
通过对 60 款 App 进行 5-30 分钟时长不等的逐一检测后发现, 可以将 SDK 实际收集的信息划分为五类:
-
手机设备信息(如IMEI、IMSI 等设备唯一识别码);
-
网络信息(如 IP地址、MAC 地址、Wi-Fi热点等);
-
手机状态信息(如已安装/运行中的应用信息);
-
用户行为信息(如锁屏、安装、升级、卸载应用软件);
-
用户个人信息(如电话号码、地理位置、通话记录)。
收集用户信息方面,据统计,在检测时间内,60 款 App 使用的 966 个 SDK 中,有 150 个获取了 IMEI、IMSI 等手机设备信息,在所有类别中最为频繁;其次是 Wi-Fi 连接信息( IP 地址、MAC 地址)、扫描周围热点、Wi-Fi 热点信息(SSID)、运营商与基站信息等各类网络信息,都有 35 个以上 SDK 获取;还有 10 个SDK 获取了用户行为信息,比如锁屏、安装/升级/卸载 App。
此外,用户的电话号码、地理位置、手机视频和相册等个人信息也被一些 SDK 获取,尤其是地理位置信息,被 32 个 SDK 获取。
值得注意的是,钉钉、铁路12306、闲鱼等 App 使用的支付宝SDK,派派、陌陌等 App 使用的声网 SDK , 百度贴吧 App 以及铁路12306 App 使用的梆梆安全 SDK 都收集了传感器信息。很多情况下,步数、心跳等与健康相关的个人信息就是通过“传感器”权限收集。
手机里的传感器主要用于运动计步。它的工作原理和麦克风一样,都是记录震动。每当手机扬声器发出的声音,这些震动都会被加速度传感器记录下来。只要把这些细微的震动变化进行还原,就可以识别破解出扬声器里的谈话内容。
更可怕的是,手机 App 对加速度传感器的调用,并不是高权限,可以在不询问的情况下悄悄开启。在这种情况下,不论是苹果,还是安卓手机,都难逃被偷听的命运。
所以,这些信息的重要性你懂的。
那么,重点来了,这些 SDK 插件为什么能如此轻易的获取这么多信息呢?
一个很重要的原因就是很多 App 在隐私政策中并没有为其设限。
《报告》显示,不少 App 并没有做到收集前告知。比如,中国银行手机银行 App 的讯飞 SDK 可以“对环境或通话录音”,却没有提供任何隐私政策;宜人财富 App 和宜人贷借款 App 使用的 TalkingData SDK 获取了用户的地理位置,但两款 App的隐私政策都没有提及会收集位置信息。也就是说,用户的隐私很可能在不知情的情况下被 SDK 收集了。
所以,收集用户信息是第一步,用收集的信息来“作恶”就是第二步了,当然,这并不是指这些企业本身。
因为除了 App 个性化推送的需要,还离不开一条规模大、链条长、利益大的黑色产业链。
这个产业链背后在做什么,大家也有所了解。
简单来说,上游负责供货;中游负责信息处理与再加工,形成规模化市场;下游负责“应用变现”,通过电信诈骗、恶意营销等非法渠道牟取高额利润。产业链结构完整,各种信息明码标价。
根据 2017 年发布的《电子商务生态安全白皮书》推测,中国“网络黑产”从业人员已经超过 150 万,市场规模高达千亿级别。
以黑产中较为重要的交易产品——个人 App 账号密码为例。数十亿账号密码,被黑灰产业所掌握,他们大多数都是通过撞库、刷库造成账号被盗,而盗号衍生的产业链年获利超百亿元。
而据数据统计,每个人手机中平均有 56 款 App,少一点的可能十多个,多一点的,上百都有可能。中国应用商店数量有 200 多家,上架的 App 有 500 多万款。
那么,这些 App 有可能停止收集你的数据吗?
答案是:不可能。
App 不去挖掘用户的数据,就很难获得用户痛点和喜好,没有对用户痛点和喜好的洞察,就无法提供合适的产品和解决方案,也就无法创造商业价值。
如何避开这样的隐私曝光侵害?
那么,一个老生常谈的问题是如何避免我们的信息被窃取呢?可能很多人的第一想法当然是卸载这类 App ,但绝对禁止显然不是一条好路子,还是要从源头入手。
首先,对于企业而言,记录用户数据无法避免。很多厂商会记录用户的匿名数据,但侵犯用户隐私的关键在于,拿到用户数据后有没有脱敏,如何运用这些数据。所以,对于厂商而言,更为重要的工作应该是通过系统层面的更新,尽可能严格规范开发者行为,而不是让开发者举着你根本不会看的用户许可,冠冕堂皇拿走你的隐私。
对于开发商而言,则要尽可能选择有一定市场基础的第三方 SDK,尽量使用苹果和谷歌商店里选用的 SDK 进行集成。
其次,从政策层面上来规范,《数据安全管理办法(征求意见稿)》第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。
《信息安全技术 个人信息安全规范》修订草案则要求,涉及 SDK 等第三方嵌入或接入的自动化工具的个人信息控制者,宜开展技术检测确保第三方的个人信息收集、使用行为符合约定要求;宜对其收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
在 315 曝光后,工信部今日也表示将在第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业。
下一步,将采取常态化监管措施,加强移动互联网应用程序 App 综合治理。集聚产业力量,推动技术手段建设,大幅提升技术检测水平。加强监督检查,加大对各类违规行为的处置和曝光力度,对未经用户同意收集使用用户个人信息等违规行为,依法予以查处,切实维护用户合法权益。
最后,从个人层面来讲,在下载 App 时,最好选择恶意密度较低的应用商店,比如苹果的 Appstore、安卓手机的应用商店,不要在一些恶意 App 密度高的应用商店下载。
在安装 App 时,会弹出各种权限申请,此时一定要注意位置信息、手机通讯录等隐私权限,不常用的不要给。
此外,要定期清理手机内存数据,不要把身份证照片、银行卡号等关键信息留在手机内,定期查看手机应用权限。
还要警惕来源不明的二维码扫描、注册申请等,一些补贴、礼品很有可能是黑灰产为了收集个人信息的诱饵,2 块钱获得的数据被转手就能卖出 10 块钱。
发现信息被泄露后,也不要自认倒霉。按相关规定,消费者有权要求网络服务提供者删除个人隐私信息,还能向公安和互联网管理部门进行投诉举报。
当然,没有人喜欢主动出卖隐私,也不会有人觉得数据被私自调用是合情合理的事情,一旦这些后台行为的调用逐渐清晰和明朗化,系统也愿意给出更多限制性手段后,守住自己的私密数据,大概就不会成为一个难题了。
雷锋网雷锋网 (公众号:雷锋网) 雷锋网
参考资料:
【1】 https://www.zhihu.com/question/407312260
【2】 https://www.toutiao.com/a6850075339721310724/
【3】 https://www.cfca.com.cn/upload/cpbg.pdf
【4】 https://mp.weixin.qq.com/s/juIfg8EYI9cAaJ_bwcl-Hw
。