金融App注意!工信部發文整治SDK亂象 進行“地毯式”排查
移動支付網 作者 偉辰:7月17日,工業和信息化部發文要求嚴厲查處“315晚會”曝光的信息通信領域違規行為。
第一,立即組織北京市、上海市通信管理局對涉事兩家SDK企業,進行核查處理;
第二,立即組織第三方檢測機構對曝光使用上述兩家SDK的50餘款App進行技術檢測,對存在問題的App第一時間啓動下架程序;
第三,立即啓動應用商店聯動處置機制,責成國內主要應用商店,第一時間對類似問題進行“地毯式”排查,對發現問題一律第一時間予以下架,同時要求應用商店及時通知App運營開發者自查自糾,及時發現、處理違規收集用户個人信息的SDK。
SDK是SoftwareDevelopment Kit的縮寫,即“軟件開發工具包”。簡單來説,它是輔助開發某一類應用軟件的相關文檔、範例和工具的集合。對App來説,可以將某項功能交給第三方來開發以縮短週期。
據移動支付網瞭解,具備強大功能的第三方SDK廣泛應用在大量App的設計開發階段,成為整個手機軟件供應鏈中不可或缺的一部分。
近年來,App個人信息違規採集問題頻現,企業往往將App個人信息安全問題聚焦在自身代碼的開發層面,很容易忽視App中集成的第三方SDK安全問題,殊不知正是這些提供便利的第三方SDK正在背後插刀。
由於同一款SDK有可能會同時存在於不同款App當中,用户一款手機有可能同時被同一款SDK通過不同App收集用户數據。這樣第三方SDK可以獲取大批量不同App的用户數據。
第三方SDK可以通過挖掘用户數據形成種種工具,如通過App的安裝情況以及獲取的用户定位,繪製出熱力圖幫助線下店鋪選址;通過設備指紋信息算法信息,幫助App進行智能獲客、智能營銷。
以上是第三方SDK將流量變現的主要方式,屬於比較剋制的利用。有安全公司指出,部分SDK會採用Android操作系統的熱更新機制,在集成環節偽裝成正常SDK,逃避集成方的檢查,而在應用發佈後運行在用户手機時,通過熱更新機制從SDK的服務端動態加載惡意代碼。
惡意SDK有可能發動惡意的攻擊行為,例如在用户毫無察覺的情況下打開相機拍照,通過發送短信盜取雙因素認證令牌,或將設備變成殭屍網絡的一部分。
2018年4月,騰訊安全反詐騙實驗室的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發工具包(SDK)——“寄生推”,它通過預留的“後門”雲控開啓惡意功能,私自ROOT用户設備並植入惡意模塊,進行惡意廣告行為和應用推廣,以實現牟取灰色收益。300多款知名應用遭遇“寄生推”的病毒感染,其中不乏用户超過千萬的巨量級軟件,潛在影響用户超2000萬。
根據《網絡安全法》第四十三條、第四十四條規定:任何個人和組織不得竊取或者以其他非法方式獲取個人信息,個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網絡運營者刪除其個人信息。
《網絡安全法》第六十九條規定,違反四十三條、第四十四條,可處以警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等。
7月16日,“315晚會”再次曝光手機超限違規收集個人信息情況。據央視報道,上海市消費者權益保護委員會委託第三方對市場上的App進行檢測,發現某些第三方開發的SDK包存在違規收集用户個人信息的情況。
上海市消費者協會權益保護委員會檢測了50多款App,這些App中帶有兩家公司的SDK:上海氪信信息技術有限公司、北京招彩旺旺信息技術有限公司。而50多款App中包含大量的金融App,如:國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等等。
工信部發文之前,被“315晚會”點名的上海氪信信息技術有限公司發佈聲明,稱經過上海氪信的內部評估,認為SDK技術有被濫用的風險。因此,在2019年年底前,上海氪信就已完全停用SDK技術。
據移動支付網瞭解,上海氪信成立於2015年12月,是一家大數據AI平台,已經完成D輪融資。天眼查股東信息顯示,該公司的股東中包括了真格基金、深圳市招商局創新投資基金中心(有限合夥)、上海火山石一期股權投資合夥企業(有限合夥)等,2019年10月,浦發銀行上海信託旗下的金融科技基金亦入股上海氪信。
公開資料顯示,發展至今,上海氪信已成為工商銀行、建設銀行、交通銀行、招商銀行、浦發銀行等國內領先金融機構AI升級的重要合作伙伴。