受疫情影响,央视的“3·15”晚会延期至7月16日20时播出。据央视发布的消息,今年的“315”晚会主题定为“凝聚力量、共筑美好”,积极关注新产业、新业态和新消费模式。晚会曝光了手机里的窃贼插件:你的短信可被全部传走,包括网络交易验证码。
据央视报道,SDK是在手机软件中,提供某种功能或服务的插件,2019年11月,上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行了测试,发现一些SDK暗藏玄机。
技术人员检测了50多款手机软件,这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件,这两个插件都存在在用户不知情的情况下,偷偷窃取用户隐私的嫌疑,涉及国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件。
检测人员介绍,SDK会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息。读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。北京招彩旺旺信息技术有限公司的SDK,甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件,窃取用户更加隐私的信息。
“SDK会未经用户同意,收集用户的联系人、短信、位置、设备信息等等。尤其短信,短信内容被全部传走,这个是很严重的。” 检测人员介绍,因SDK能收集用户短信,以及应用安装信息,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。
在此次检测当中,除了内嵌SDK插件以外,工作人员还发现一些知名手机APP也有收集用户隐私的现象,涉及酷音铃声、手机铃声、铃声大全等多款软件。
南都此前报道,SDK可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时本身也具备获取相当一部分设备信息和用户个人信息的能力。
由第三方SDK引入的安全问题是显而易见的。比如因开发者的安全能力水平参差不齐,可能导致SDK的安全漏洞;还有开发者会故意预留“后门”,以便收集用户信息或执行越权操作。
南都记者梳理发现,近年来出台的不少个人信息保护、数据安全相关法规和标准已经明确了管理SDK的必要性。例如,《数据安全管理办法(征求意见稿)》第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。