《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計 > AET原創(chuàng) > “3.15”曝光:SDK插件隱身手機(jī)App,竊取用戶個人信息

“3.15”曝光:SDK插件隱身手機(jī)App,竊取用戶個人信息

2020-07-31
作者:牟艷霞
來源:AET
關(guān)鍵詞: SDK 3.15

  移動互聯(lián)網(wǎng)時代讓我們的生活太便利了,便利到手機(jī)+驗證碼就能干很多很多的事。但是,如果短信被監(jiān)聽了呢?手機(jī)驗證碼被竊取了呢?手機(jī)驗證碼被竊取后還被刪除了呢?……而這些,都是在我們身邊隨時可能發(fā)生的事情。

  在今年的“3.15”晚會中就曝光了一些手機(jī)應(yīng)用中存在第三方SDK插件,竊取用戶信息的情況。

  什么是SDK插件呢?

  集成在App里的第三方工具包,又稱插件,或簡稱SDK(Software Development Kit)。它們可以幫助App低成本地實現(xiàn)各種功能,如地圖、支付、統(tǒng)計、社交、廣告等。通俗講就是由第三方服務(wù)商提供的實現(xiàn)軟件產(chǎn)品某項功能的工具包。在互聯(lián)網(wǎng)開放的大趨勢下,一些功能性的SDK已經(jīng)被當(dāng)作一個產(chǎn)品來運營。開發(fā)者不需要再對產(chǎn)品的每個功能進(jìn)行開發(fā),選擇合適穩(wěn)定的SDK服務(wù)并花費很少的精力就可以在產(chǎn)品中集成某項功能。

  開發(fā)者引入第三方SDK,可降低自己的開發(fā)難度。但SDK自身也具備獲取設(shè)備信息和用戶個人信息的能力。由第三方SDK引入也可能存在安全問題。本次曝光的正是SDK被嵌入不同的App中,并在后臺竊取用戶信息的黑幕。

  在央視的報道中,技術(shù)人員檢測了50多款手機(jī)軟件,這些軟件中分別含有上海氪信信息技術(shù)有限公司和北京招彩旺旺信息技術(shù)有限公司兩家公司的SDK插件,這兩個插件,都存在用戶不知情的情況下,偷偷竊取用戶隱私的嫌疑,涉及國美易卡、遙控器、最強(qiáng)手電、全能遙控器、91極速購、天天回收、閃到、蘿卜商城、紫金普惠等50多款手機(jī)軟件。這些非法SDK能潛藏在手機(jī)App中,竊取用戶隱私數(shù)據(jù)回傳至自己后臺,甚至包括通訊錄、驗證碼短信等關(guān)鍵信息。

  檢測人員介紹,因為SDK能夠收集用戶的聯(lián)系人、短信、位置、設(shè)備信息等,以及應(yīng)用安裝信息,一旦用戶有網(wǎng)絡(luò)交易的驗證碼被獲取,極有可能造成嚴(yán)重的經(jīng)濟(jì)損失。而用戶的個人信息一旦被非法分子利用,用戶極有可能會接到無數(shù)的推銷電話、騷擾電話甚至詐騙電話,個人及通訊錄的家人朋友們可能暴露在巨大的欺詐風(fēng)險之下。

  而據(jù)行業(yè)內(nèi)部人員透露,SDK竊取用戶信息已是“公開的秘密”,除了獲取短信驗證碼等隱私信息外,如果這些SDK插件能讀取手機(jī)用戶的傳感器信息,就意味著它可能會“偷聽”用戶。此前,也不乏有軟件開發(fā)領(lǐng)域的相關(guān)從業(yè)人員呼吁要重視SDK侵犯用戶隱私的問題,但一直未引起公眾重視。而此次“3.15”晚會的曝光,再次將相關(guān)問題由幕后推向了前臺。

  我國是移動應(yīng)用發(fā)展及使用非常發(fā)達(dá)的國家,據(jù)不完全統(tǒng)計,我國目前App數(shù)量達(dá)400多萬個。晚會曝光的這些APP,只是一個縮影,我們喜聞樂見的、用的最多的APP,或多或少也存在這樣的問題。

  所以,期待行業(yè)自律,法律完善,監(jiān)管到位吧!而用戶能做的,只能盡量選擇正規(guī)的應(yīng)用下載渠道,注意敏感信息的授權(quán)使用,加強(qiáng)權(quán)限管理、密碼管理等。

  (信息服務(wù)部  牟艷霞)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。