楠木軒

315晚會再曝SDK暗藏玄機:短信可全部傳走,包括交易驗證碼

由 撒宏才 發佈於 科技

受疫情影響,央視的“3·15”晚會延期至7月16日20時播出。據央視發佈的消息,今年的“315”晚會主題定為“凝聚力量、共築美好”,積極關注新產業、新業態和新消費模式。晚會曝光了手機裏的竊賊插件:你的短信可被全部傳走,包括網絡交易驗證碼。

據央視報道,SDK是在手機軟件中,提供某種功能或服務的插件,2019年11月,上海市消費者權益保護委員會委託第三方公司對一些手機軟件中的SDK插件進行了測試,發現一些SDK暗藏玄機。

技術人員檢測了50多款手機軟件,這些軟件中分別含有上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家公司的SDK插件,這兩個插件都存在在用户不知情的情況下,偷偷竊取用户隱私的嫌疑,涉及國美易卡、遙控器、最強手電、全能遙控器、91極速購、天天回收、閃到、蘿蔔商城、紫金普惠等50多款手機軟件。

檢測人員介紹,SDK會讀取這部設備的IMEI、IMSI、運營商信息、電話號碼、短信記錄 、通訊錄、應用安裝列表和傳感器信息。讀取完成後,還會悄悄地將數據傳送到指定的服務器存儲起來。北京招彩旺旺信息技術有限公司的SDK,甚至涉嫌通過菜譜、家長幫、動態壁紙等多款軟件,竊取用户更加隱私的信息。

“SDK會未經用户同意,收集用户的聯繫人、短信、位置、設備信息等等。尤其短信,短信內容被全部傳走,這個是很嚴重的。” 檢測人員介紹,因SDK能收集用户短信,以及應用安裝信息,一旦用户有網絡交易的驗證碼被獲取,極有可能造成嚴重的經濟損失。

在此次檢測當中,除了內嵌SDK插件以外,工作人員還發現一些知名手機APP也有收集用户隱私的現象,涉及酷音鈴聲、手機鈴聲、鈴聲大全等多款軟件。

南都此前報道,SDK可以幫助App高效率、低成本地實現地圖、支付、統計、社交、廣告等一系列功能,同時本身也具備獲取相當一部分設備信息和用户個人信息的能力。

由第三方SDK引入的安全問題是顯而易見的。比如因開發者的安全能力水平參差不齊,可能導致SDK的安全漏洞;還有開發者會故意預留“後門”,以便收集用户信息或執行越權操作。

南都記者梳理發現,近年來出台的不少個人信息保護、數據安全相關法規和標準已經明確了管理SDK的必要性。例如,《數據安全管理辦法(徵求意見稿)》第三十條規定,網絡運營者對接入其平台的第三方應用,應明確數據安全要求和責任,督促監督第三方應用運營者加強數據安全管理。