50多款App涉嫌窃取用户隐私!央视曝光SDK插件藏身手机

互联网
50多款App涉嫌窃取用户隐私!央视曝光SDK插件藏身手机
麻省理工科技评论 2020-07-17

2020-07-17

切不可因为麻木,而对违规现象“习以为常”,该举报时还是应该及时点击举报键。
网络安全 互联网
切不可因为麻木,而对违规现象“习以为常”,该举报时还是应该及时点击举报键。

受疫情影响,央视 2020 年 “315 晚会” 推迟于 7 月 16 日晚播出。本次 “315 晚会” 中曝光了某些手机软件中暗藏 “窃贼”:某些第三方公司开发的 SDK 插件存在未经用户许可,窃取用户手机中短信、通讯录和设备信息等个人隐私信息。

50多款App涉嫌窃取用户隐私!央视曝光SDK插件藏身手机

图 | 315 晚会曝光上述行为(来源:央视财经)

据节目介绍,2019 年 11 月,上海市消费者权益保护委员会委托第三方公司对一些手机软件中的 SDK 插件进行了专门测试,却发现一些 SDK 暗藏玄机。

依据《信息安全技术 移动互联网应用(App)收集个人信息基本规范》《App 违法违规收集使用个人信息行为认定方法》等相关规定,技术人员检测了 50 多款手机软件。

这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的 SDK 插件,这两个插件,都存在在用户不知情的情况下,偷偷窃取用户隐私的嫌疑,涉及国美易卡、遥控器、最强手电、全能遥控器、91 极速购、天天回收、闪到、萝卜商城、紫金普惠等 50 多款手机软件。

50多款App涉嫌窃取用户隐私!央视曝光SDK插件藏身手机

50多款App涉嫌窃取用户隐私!央视曝光SDK插件藏身手机

图 | 被曝光的软件(来源:央视财经)

什么是 SDK?

SDK,即软件开发工具包(Software Development Kit)。如果你注意过的话,安装使用一些手机软件的时候,会有一些法规条文里写道“第三方应用或服务”,这就是我们常说的“第三方 SDK”。

50多款App涉嫌窃取用户隐私!央视曝光SDK插件藏身手机

简单来说,就是一些公司会把一些软件功能标准化地开发好,使它到其它软件中可以即插即用,并且拥有这个 SDK 所具备的标准化功能。

在如今快速便捷的时代要求下,大量软件开发团队都会在自己开发的软件里借用第三方提供的 SDK,以便节约大量的开发成本与开发时间。事实上,不管是你每天收到的新闻推送,还是促销活动广告,甚至短信验证码,都有可能出自第三方 SDK 之手。

它们可以帮助 App 高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力。

2019 年 4 月,南都个人信息保护研究中心委托中国金融认证中心针对使用率高的 SDK 做了隐私数据分析报告,报告显示,在测评的 60 款常用应用软件中,共使用了至少 966 个 SDK,平均每款 App 使用 19.3 个(注:移动金融类未计在内,因为该行业普遍对 App 进行加固,难以确切检测出使用的 SDK)。

其中生活服务类 App 平均使用的 SDK 个数最多,为 20.2 个,旅游交通类最少,平均使用 15.4 个 SDK。

50多款App涉嫌窃取用户隐私!央视曝光SDK插件藏身手机

图 | 各行业 APP 使用 SDK 数量(来源:《常用第三方 SDK 收集使用个人信息测评报告》/ 南都个人信息保护研究中心中国金融认证中心(CFCA))

一般来说,SDK 会违规采集五类与服务无关的数据:蓝牙信息、传感器信息、各类 App 的信息、移动设备的程序任务信息、移动设备的账户信息等。

采集蓝牙信息,是为了识别设备,而采集到成功配对的蓝牙设备信息,则是为了获得与移动设备通过蓝牙通信的另一移动设备的信息;

采集传感器信息是为了充实所谓的“数据库数据量”;

采集各类 App 的信息,则可以获知用户设备中各类 APP 应用的信息。如果数据量庞大,还能推算出某一 App 的市场占有率,同时还能通过 App 应用列表信息,查看用户使用习惯;

采集移动设备的程序任务信息,是为了得知设备中其他应用的日启动次数、日启动时长,同样属于侵犯用户隐私的行为;

采集移动设备的账户信息,可以获取用户账户列表,并能将移动设备信息与用户账号关联,从而对设备进行唯一标识。该数据采集的风险较大,假如用户账号被泄露或者被克隆,很有可能给用户带来金钱损失乃至其他更严重的损失。

那么,有什么解决办法吗?

怎么预防第三方 SDK 窃取信息?

2019 年 6 月 1 日,全国信息安全标准化技术委员会发布《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》(下称《规范》),针对 16 类 App 常用的基本业务功能界定了必要信息的范围。

由于 SDK 在实际行为中能够获取的权限和收集的信息,通常会受到宿主 App 的限制,因此,理论上 SDK 收集用户个人信息也应达到《规范》的要求。

需要特别强调的是,获取其他信息并不代表违规,根据相关法律法规的要求,获取这些信息前、需要弹窗询问用户是否同意,如果用户点击“不同意”,也不能影响 App 核心功能的使用。所以,用户在安装软件时最好仔细阅读相关的权限要求谨慎开启相关权限。

此外,在软件开发时,一些有经验的高级开发者,会通过对 SDK 进行逆向操作、以及代码进行扫描,来获知 SDK 进行了哪些操作、采集了哪些隐私数据。

不过,现在 App 加固技术也在不断更新,逆向的难度也越来越高,所以多数开发者很难去判断第三方 SDK 做了哪些违规操作。因此建议开发者,尽可能选择有一定市场基础的第三方 SDK,以及尽量沿用 App Store 和 Google Play 里的 App 选用的 SDK 进行集成,这样可以大大降低 App 被下架的风险。

当今社会,几乎每个智能手机用户,手机上都会有几个到几十个不等的 App,此类事件的频繁出现,说明从应用开发方、用户方到监管方,都有需要提高的地方。

对于用户来说,切不可因为麻木,而对违规现象 “习以为常”,该举报时还是应该及时点击举报键。每年“315” 晚会上的很多案例,均来自用户举报或用户曝光。“聚沙成塔,积水成渊”,只有大家都行动起来,不正之风才可以止住。

麻省理工科技评论

From Tech to Deeptech