科技發(fā)展至今日，我們的隱私安全依舊無處遁形。

315 曝光 50 余款 App 的竊賊插件

昨天，在因疫情遲來的 315 晚會上曝光了一些手機應(yīng)用中存在第三方 SDK 插件，竊取用戶信息的情況。這些違規(guī)插件不僅可以將你的短信全部傳走，甚至包括網(wǎng)絡(luò)交易驗證碼也不在話下。

據(jù) 315 晚會報道，2019 年 11 月，在上海市消費者權(quán)益保護(hù)委員會委托第三方公司對一些手機軟件中的 SDK 插件進(jìn)行測試的時候，就發(fā)現(xiàn)一些 SDK 里存在的問題。

SDK 是 Software Development Kit 的縮寫，即"軟件開發(fā)工具包"，一般來說，SDK 可以實現(xiàn)安卓開發(fā)工具、廣告推送、圖像識別或移動支付等功能。通過 SDK 插件，App 開發(fā)者不再需要針對每項功能進(jìn)行開發(fā)，極大縮短了產(chǎn)品的開發(fā)周期。

技術(shù)人員一共檢測了 50 多款手機軟件，這些軟件中分別包含了上海氪信信息技術(shù)有限公司和北京招彩旺旺信息技術(shù)有限公司的 SDK 插件。而這兩個公司的插件，都存在在用戶不知情的情況下，私自竊取用戶隱私信息的問題。涉及到的手機 App 達(dá) 50 多款，包括國美易卡、遙控器、最強手電、全能遙控器、91極速購、天天回收、閃到、蘿卜商城等。

據(jù)介紹，這兩個插件會讀取這部設(shè)備的 IMEI、IMSI、運營商信息、電話號碼、短信記錄 、通訊錄、應(yīng)用安裝列表和傳感器信息。

你以為這就完了嗎，更可怕的是，這些 App 里的 SDK 在讀取完成后，還會悄悄地將數(shù)據(jù)傳送到指定的服務(wù)器存儲起來。

細(xì)思極恐！嚇得我趕快刪掉了所有短信。

此外，檢測人員也指出：

“雖然 SDK 只是一個看似普通的插件，但是因為它對所有的手機 App 具有通用性，很多手機軟件可能都嵌入了同一個 SDK，因此一旦某個 SDK 竊取用戶個人隱私，將會涉及眾多手機軟件。”

對此，網(wǎng)友也直呼：“大數(shù)據(jù)時代，我們居然毫無安全可言”。

從人臉識別 5 毛起售再到被 App 私自竊取信息，我們的隱私安全到底應(yīng)該如何談起，這一話題也在知乎引起熱議。

SDK 插件是怎么竊取用戶隱私的？

正如上文所說，卸載 App 也并不是萬全之策，所以，大家更好奇的還是 SDK 插件如何竊取隱私的？

回答這個問題之前，我們先了解下 SDK 插件的信息收集情況。

根據(jù)南都此前發(fā)布的《常用第三方 SDK 收集使用個人信息測評報告》（以下簡稱《報告》）顯示：

通過對 60 款 App 進(jìn)行 5-30 分鐘時長不等的逐一檢測后發(fā)現(xiàn)， 可以將 SDK 實際收集的信息劃分為五類：

• 手機設(shè)備信息 （如IMEI、IMSI 等設(shè)備唯一 識別碼）；

• 網(wǎng)絡(luò)信息（如 IP 地址、MAC 地址、Wi-Fi熱點等）；

• 手機狀態(tài)信息 （如已安裝/運行中的應(yīng)用信息）；

• 用戶行為信息（如鎖屏、安裝、升級、卸載應(yīng)用軟件）；

• 用戶個人信息 （如電話號碼、地理位置、 通話記錄）。 

收集用戶信息方面，據(jù)統(tǒng)計，在檢測時間內(nèi)，60 款 App 使用的 966 個 SDK 中，有 150 個獲取了 IMEI、IMSI 等手機設(shè)備信息，在所有類別中最為頻繁；其次是 Wi-Fi 連接信息（ IP 地址、MAC 地址）、掃描周圍熱點、Wi-Fi 熱點信息（SSID）、運營商與基站信息等各類網(wǎng)絡(luò)信息，都有 35 個以上 SDK 獲??；還有 10 個 SDK 獲取了用戶行為信息，比如鎖屏、安裝/升級/卸載 App。 

此外，用戶的電話號碼、地理位置、手機視頻和相冊等個人信息也被一些 SDK 獲取，尤其是地理位置信息，被 32 個 SDK 獲取。 

值得注意的是，釘釘、鐵路12306、閑魚等 App 使用的支付寶 SDK，派派、陌陌等 App 使用的聲網(wǎng) SDK , 百度貼吧 App 以及鐵路12306 App 使用的梆梆安全 SDK 都收集了傳感器信息。很多情況下，步數(shù)、心跳等與健康相關(guān)的個人信息就是通過“傳感器”權(quán)限收集。

手機里的傳感器主要用于運動計步。它的工作原理和麥克風(fēng)一樣，都是記錄震動。每當(dāng)手機揚聲器發(fā)出的聲音，這些震動都會被加速度傳感器記錄下來。只要把這些細(xì)微的震動變化進(jìn)行還原，就可以識別破解出揚聲器里的談話內(nèi)容。

更可怕的是，手機 App 對加速度傳感器的調(diào)用，并不是高權(quán)限，可以在不詢問的情況下悄悄開啟。在這種情況下，不論是蘋果，還是安卓手機，都難逃被偷聽的命運。

所以，這些信息的重要性你懂的。

那么，重點來了，這些 SDK 插件為什么能如此輕易的獲取這么多信息呢？

一個很重要的原因就是很多 App 在隱私政策中并沒有為其設(shè)限。

《報告》顯示，不少 App 并沒有做到收集前告知。比如，宜人財富 App 和宜人貸借款 App 使用的 TalkingData SDK 獲取了用戶的地理位置，但兩款 App 的隱私政策都沒有提及會收集位置信息。也就是說，用戶的隱私很可能在不知情的情況下被 SDK 收集了。

所以，收集用戶信息是第一步，用收集的信息來“作惡”就是第二步了，當(dāng)然，這并不是指這些企業(yè)本身。

因為除了 App 個性化推送的需要，還離不開一條規(guī)模大、鏈條長、利益大的黑色產(chǎn)業(yè)鏈。

這個產(chǎn)業(yè)鏈背后在做什么，大家也有所了解。

簡單來說，上游負(fù)責(zé)供貨；中游負(fù)責(zé)信息處理與再加工，形成規(guī)?；袌?；下游負(fù)責(zé)“應(yīng)用變現(xiàn)”，通過電信詐騙、惡意營銷等非法渠道牟取高額利潤。產(chǎn)業(yè)鏈結(jié)構(gòu)完整，各種信息明碼標(biāo)價。

根據(jù) 2017 年發(fā)布的《電子商務(wù)生態(tài)安全白皮書》推測，中國“網(wǎng)絡(luò)黑產(chǎn)”從業(yè)人員已經(jīng)超過 150 萬，市場規(guī)模高達(dá)千億級別。

以黑產(chǎn)中較為重要的交易產(chǎn)品——個人 App 賬號密碼為例。數(shù)十億賬號密碼，被黑灰產(chǎn)業(yè)所掌握，他們大多數(shù)都是通過撞庫、刷庫造成賬號被盜，而盜號衍生的產(chǎn)業(yè)鏈年獲利超百億元。

而據(jù)數(shù)據(jù)統(tǒng)計，每個人手機中平均有 56 款 App，少一點的可能十多個，多一點的，上百都有可能。中國應(yīng)用商店數(shù)量有 200 多家，上架的 App 有 500 多萬款。

那么，這些 App 有可能停止收集你的數(shù)據(jù)嗎？

答案是：不可能。

App 不去挖掘用戶的數(shù)據(jù)，就很難獲得用戶痛點和喜好，沒有對用戶痛點和喜好的洞察，就無法提供合適的產(chǎn)品和解決方案，也就無法創(chuàng)造商業(yè)價值。

如何避開這樣的隱私曝光侵害？

那么，一個老生常談的問題是如何避免我們的信息被竊取呢？可能很多人的第一想法當(dāng)然是卸載這類 App ，但絕對禁止顯然不是一條好路子，還是要從源頭入手。

首先，對于企業(yè)而言，記錄用戶數(shù)據(jù)無法避免。很多廠商會記錄用戶的匿名數(shù)據(jù)，但侵犯用戶隱私的關(guān)鍵在于，拿到用戶數(shù)據(jù)后有沒有脫敏，如何運用這些數(shù)據(jù)。所以，對于廠商而言，更為重要的工作應(yīng)該是通過系統(tǒng)層面的更新，盡可能嚴(yán)格規(guī)范開發(fā)者行為，而不是讓開發(fā)者舉著你根本不會看的用戶許可，冠冕堂皇拿走你的隱私。

對于開發(fā)商而言，則要盡可能選擇有一定市場基礎(chǔ)的第三方 SDK，盡量使用蘋果和谷歌商店里選用的 SDK 進(jìn)行集成。

其次，從政策層面上來規(guī)范，《數(shù)據(jù)安全管理辦法（征求意見稿）》第三十條規(guī)定，網(wǎng)絡(luò)運營者對接入其平臺的第三方應(yīng)用，應(yīng)明確數(shù)據(jù)安全要求和責(zé)任，督促監(jiān)督第三方應(yīng)用運營者加強數(shù)據(jù)安全管理。

《信息安全技術(shù) 個人信息安全規(guī)范》修訂草案則要求，涉及 SDK 等第三方嵌入或接入的自動化工具的個人信息控制者，宜開展技術(shù)檢測確保第三方的個人信息收集、使用行為符合約定要求；宜對其收集個人信息的行為進(jìn)行審計，發(fā)現(xiàn)超出約定行為的及時切斷接入。

在 315 曝光后，工信部今日也表示將在第一時間組織相關(guān)單位進(jìn)行認(rèn)真核查，依法依規(guī)嚴(yán)厲查處涉事企業(yè)。

下一步，將采取常態(tài)化監(jiān)管措施，加強移動互聯(lián)網(wǎng)應(yīng)用程序 App 綜合治理。集聚產(chǎn)業(yè)力量，推動技術(shù)手段建設(shè)，大幅提升技術(shù)檢測水平。加強監(jiān)督檢查，加大對各類違規(guī)行為的處置和曝光力度，對未經(jīng)用戶同意收集使用用戶個人信息等違規(guī)行為，依法予以查處，切實維護(hù)用戶合法權(quán)益。

最后，從個人層面來講，在下載 App 時，最好選擇惡意密度較低的應(yīng)用商店，比如蘋果的 Appstore、安卓手機的應(yīng)用商店，不要在一些惡意 App 密度高的應(yīng)用商店下載。

在安裝 App 時，會彈出各種權(quán)限申請，此時一定要注意位置信息、手機通訊錄等隱私權(quán)限，不常用的不要給。

此外，要定期清理手機內(nèi)存數(shù)據(jù)，不要把身份證照片、銀行卡號等關(guān)鍵信息留在手機內(nèi)，定期查看手機應(yīng)用權(quán)限。

還要警惕來源不明的二維碼掃描、注冊申請等，一些補貼、禮品很有可能是黑灰產(chǎn)為了收集個人信息的誘餌，2 塊錢獲得的數(shù)據(jù)被轉(zhuǎn)手就能賣出 10 塊錢。

發(fā)現(xiàn)信息被泄露后，也不要自認(rèn)倒霉。按相關(guān)規(guī)定，消費者有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除個人隱私信息，還能向公安和互聯(lián)網(wǎng)管理部門進(jìn)行投訴舉報。

當(dāng)然，沒有人喜歡主動出賣隱私，也不會有人覺得數(shù)據(jù)被私自調(diào)用是合情合理的事情，一旦這些后臺行為的調(diào)用逐漸清晰和明朗化，系統(tǒng)也愿意給出更多限制性手段后，守住自己的私密數(shù)據(jù)，大概就不會成為一個難題了。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

【1】https://www.zhihu.com/question/407312260

【2】https://www.toutiao.com/a6850075339721310724/

【3】http://www.cfca.com.cn/upload/cpbg.pdf

【4】https://mp.weixin.qq.com/s/juIfg8EYI9cAaJ_bwcl-Hw

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。