消费者报告 | 315晚会曝手机App安全隐患:内嵌SDK插件盗取用户隐私

界面新闻

text

在今年的央视

315

晚会上,一些手机应用中存在的第三方

SDK

插件被曝出存在窃取用户信息的情况。

SDK

的全称为

software development kit

(软件开发工具包),它是集成在手机

App

里的第三方工具包,可以理解为手机的组装模块。通过

SDK

手机

App

得以低成本地实现很多功能,比如地图,支付,社交,广告等。此外,

SDK

还可以有效减少程序员的工作量,降低软件的开发难度,但同时可能会存在一些安全隐患问题。

图片来源:央视315晚会

315

晚会报道,

2019

11

月,在上海市消费者权益保护委员会委托第三方公司对一些手机软件中的

SDK

插件进行测试的时候,就发现一些

SDK

里存在的问题。

技术人员一共检测了

50多款手机软件,这些软件中分别包含了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的

SDK

插件。而这两个公司的插件,都存在在用户不知情的情况下,私自窃取用户隐私信息的问题。涉及到的手机

APP

50

多款,包括国美易卡、遥控器、最强手电、全能遥控器、

91

极速购、天天回收、闪到、萝卜商城等。

存在问题的APP 图片来源:央视3·15晚会

据检测人员介绍,这两家公司的

SDK会读取这部设备的

IMEI

IMSI

、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息。且在这些隐私信息读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。北京招彩旺旺信息技术有限公司的

SDK

,甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件,窃取用户更加隐私的信息。

SDK可能收集的用户信息 图片来源:央视3·15晚会

检测人员警告称,因为

SDK能够收集用户的短信,以及应用安装信息,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。

此外,315晚会报道称,虽然

SDK只是一个看似普通的插件,但是因为它对所有的手机

App

具有通用性,很多手机软件可能都嵌入了同一个

SDK

,因此一旦某个

SDK

窃取了用户个人隐私,将会涉及众多手机软件。在此次检测当中除了内嵌

SDK

插件以外,工作人员还发现一些知名手机

App

也有收集用户隐私的现象,涉及酷音铃声、手机铃声、铃声大全等多款软件。

实际上,这并非是

SDK第一次被曝出存在违规获取用户隐私的问题。早在

2019

9

15

日,国家计算机病毒中心发布的《移动

App

违法违规问题及治理举措》中,就指出了

App

SDK

存在的六大类问题,包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。

除此之外,在知乎上,也一直有软件开发领域的相关从业人员呼吁要重视

SDK侵犯用户隐私的问题,但一直未引起公众重视。而此次

3

15

晚会的曝光,再次将相关问题由幕后推向了前台。

据天眼查显示,上海氪信信息技术有限公司已经完成多轮融资,公司投资方包含浦发银行上海信托、上海金浦、墨白资本

等;北京招彩旺旺信息技术有限公司旗下产品为招财狗,已融资至天使轮,投资方包括晟道投资、真格基金。两家公司所提供的服务均包含计算机的软件开发服务等。截止发稿时,两家公司都尚未对央视的曝光予以任何回应。

目前,针对央视指出的这些使用了相关

SDK插件的

APP

中,国美易卡和美的方面均给与了回应。国美易卡称,

报道中提到的

“氪信

SDK

插件

,已于

2020

1

14

日从国美易卡

APP

下线。目前

国美

已经全面停止

与氪信一切合作。

而美的则表示,晚会中提及的美的空调遥控器

App并非美的空调以及美的美居所开发的官方应用软件。同时,美的已经成立专项打假小组,正在追查软件开发者。