AET原创

“3.15”曝光:SDK插件隐身手机App,窃取用户个人信息

作者:牟艳霞
发布日期:2020-07-31
来源:AET

 移动互联网时代让我们的生活太便利了,便利到手机+验证码就能干很多很多的事。但是,如果短信被监听了呢?手机验证码被窃取了呢?手机验证码被窃取后还被删除了呢?……而这些,都是在我们身边随时可能发生的事情。

 在今年的“3.15”晚会中就曝光了一些手机应用中存在第三方SDK插件,窃取用户信息的情况。

 什么是SDK插件呢?

 集成在App里的第三方工具包,又称插件,或简称SDK(Software Development Kit)。它们可以帮助App低成本地实现各种功能,如地图、支付、统计、社交、广告等。通俗讲就是由第三方服务商提供的实现软件产品某项功能的工具包。在互联网开放的大趋势下,一些功能性的SDK已经被当作一个产品来运营。开发者不需要再对产品的每个功能进行开发,选择合适稳定的SDK服务并花费很少的精力就可以在产品中集成某项功能。

 开发者引入第三方SDK,可降低自己的开发难度。但SDK自身也具备获取设备信息和用户个人信息的能力。由第三方SDK引入也可能存在安全问题。本次曝光的正是SDK被嵌入不同的App中,并在后台窃取用户信息的黑幕。

 在央视的报道中,技术人员检测了50多款手机软件,这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件,这两个插件,都存在用户不知情的情况下,偷偷窃取用户隐私的嫌疑,涉及国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件。这些非法SDK能潜藏在手机App中,窃取用户隐私数据回传至自己后台,甚至包括通讯录、验证码短信等关键信息。

 检测人员介绍,因为SDK能够收集用户的联系人、短信、位置、设备信息等,以及应用安装信息,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。而用户的个人信息一旦被非法分子利用,用户极有可能会接到无数的推销电话、骚扰电话甚至诈骗电话,个人及通讯录的家人朋友们可能暴露在巨大的欺诈风险之下。

 而据行业内部人员透露,SDK窃取用户信息已是“公开的秘密”,除了获取短信验证码等隐私信息外,如果这些SDK插件能读取手机用户的传感器信息,就意味着它可能会“偷听”用户。此前,也不乏有软件开发领域的相关从业人员呼吁要重视SDK侵犯用户隐私的问题,但一直未引起公众重视。而此次“3.15”晚会的曝光,再次将相关问题由幕后推向了前台。

 我国是移动应用发展及使用非常发达的国家,据不完全统计,我国目前App数量达400多万个。晚会曝光的这些APP,只是一个缩影,我们喜闻乐见的、用的最多的APP,或多或少也存在这样的问题。

 所以,期待行业自律,法律完善,监管到位吧!而用户能做的,只能尽量选择正规的应用下载渠道,注意敏感信息的授权使用,加强权限管理、密码管理等。

 (信息服务部  牟艳霞)


此内容为AET网站原创,未经授权禁止转载。
SDK 3.15