大数据文摘出品
作者:刘俊寰
如今黑客事件频发,个人信息处于极为不安全的境地,正如一部电影所说,“没有绝对安全的系统”。
7月16日晚,央视315晚会虽然姗姗来迟,但带来了绝对的“重磅炸弹”。
晚会上,央视点名了国内50多款手机软件涉嫌窃取用户隐私信息,其中借贷类APP成为隐私信息泄漏高发区。
被曝光的APP包括少数功能性APP如“最强手电”、“全能遥控器”,购物类APP如“91极速购”、“萝卜商城”,但更多的还是借贷类APP,如“栗子借款”、“我享借”、“趣花呗”、“美期分期”、“九秒贷”、“现金转转”、“够范分期”、“麦芽贷”、“取点花”以及“国美金融”等。
图片来源:央视截图
据央视报道,这些APP中植入了某种功能或服务插件(SDK),能窃取个人的所有隐私信息。
央视援引检测人员介绍表示,SDK能够收集用户短信以及应用安装信息,甚至是网络交易的验证码,这些信息一旦被别有用心的人获取到,对个人而言,极有可能造成严重的经济损失。
SDK本身不可怕,但也有被用来窃取隐私的可能
SDK(Software Development Kit),中文全称软件开发工具包。
首先要先给SDK正名一下。SDK本身没有那么恐怖,很多软件开发团队都会在软件中借用第三方提供的SDK,用以在控制低成本和低耗时的前提下,更好地实现APP在社交、统计和广告等一系列功能服务,当然,它也能够获取部分的设备信息和用户个人信息。
如果平时认真观察的话,应该能注意到,在下载安装手机软件时,有些APP会在条例中明确指出,“第三方应用或服务”,这其实就是“第三方SDK”。
换句话说,如果想用SDK来做“坏事”,那也是极为便利的。
根据央视报道,2019年11月,上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行了专门的测试,发现了一些SDK暗藏的“玄机”。
上海市消费者权益保护委员会副主任兼秘书长陶爱莲表示:“测试中,我们发现SDK插件没有经过用户的许可来窃取消费者手机当中短信的内容。”
依据《信息安全技术移动互联网应用(App)收集个人信息基本规范》《App违法违规收集使用个人信息行为认定方法》等相关规定,技术人员检测了50多款手机软件,这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件,这两个插件都存在在用户不知情的情况下,窃取用户隐私的嫌疑。
这些信息包括用户设备的IMEI、IMSI、运营商信息,以及涉及到隐私的电话号码、短信记录 、通讯录、应用安装列表和传感器信息等。
SDK在获取用户的隐私信息后,还会悄悄地将数据传送到指定的服务器进行存储起来,北京招彩旺旺信息技术有限公司的SDK,甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件,窃取用户更加隐私的信息。
利用APP窃取隐私事件频发,我们应该怎么做?
虽然SDK十分不起眼,但由于SDK对所有手机APP具有通用性,很多手机软件可能都嵌入了同一个SDK,也就是说,一旦某个SDK窃取了你的隐私信息,那就会涉及其他更多的众多手机软件,这些SDK分别嵌在不同的APP中,危害就加倍了。
当前,随着人工智能与消费生活的逐渐融合,利用APP窃取隐私也变得越来越频繁。
比如就在315前,360安全大脑发布警示,据监测表示,在金融类移动软件中,有一批具有隐秘拍照行为的软件在鱼目混珠,以提供借贷服务之名,悄无声息窃取、收集用户的隐私信息。
监测数据还显示,截至今年6月中旬,共发现信用袋、给你花、呗呗花、万分期贷、花易贷、今日钱包、鱼跃分期、鱼米分期、开心果等9款软件,这些软件除了非法收集用户敏感通讯数据外,还会尝试对用户面部图像进行静默偷拍与上传。
正如央视记者最后指出,如何利用技术更好地为百姓服务,从应用开发方、用户方到监管方,都还需要付出更多的努力,对于用户来说,对违规现象要及时举报,同时手机上也尽量不要下载来路不明的软件,更不要随意给予软件敏感隐私权限。