揭秘App里的窃贼插件：南都曾实测三成SDK可超范围收集信息

7月16日晚，因受疫情影响，在延迟四个月播出的315晚会上，央视曝光了App的第三方插件擅自获取用户隐私的乱象。据报道，这些插件会在用户不知情的情况下，读取电话号码、短信、通讯录、地理位置等信息，并上传到自己的服务器。
南都个人信息保护研究中心与中国金融认证中心（CFCA）去年联合发布的《常用第三方SDK收集使用个人信息测评报告》显示，在官方文档里提及了申请系统权限的10个受测SDK中，有三成能够通过代码收集超出其声明权限范围的个人信息。

【揭秘App里的窃贼插件：南都曾实测三成SDK可超范围收集信息】SDK“窃取”网络交易验证码极可能造成严重经济损失

上述插件被称为SDK（Software Development Kit ，软件开发工具包）。它们可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能，同时自身也具备获取相当一部分设备信息和用户个人信息的能力。
2019年11月，上海市消费者权益保护委员会委托第三方公司对包含上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK 的50多款App进行了测试，包括国美易卡、91极速购、闪到等。
测试发现，这两款SDK未经用户许可读取手机IMEI号、电话号码、短信记录、通讯录、应用安装列表、传感器信息等隐私，读取完成后还会悄悄地将数据传送到指定的服务器存储起来。

文章图片

SDK读取的用户信息类型。图自央视报道
从检测人员展示的测试记录可以看到SDK读取了极为私密的验证码短信：“验证码为903474 ， 5分钟内有效，请勿告知他人。 ”央视报道强调，网络交易的验证码等信息一旦被别有用心的人获取，极有可能造成严重的经济损失。

文章图片

SDK获取验证码短信。图自央视报道
此外，由于SDK对所有App具有通用性，即很多App可能都嵌入了同一个SDK ，因此一旦某个SDK窃取用户个人隐私，将会涉及众多App 。
据悉，在此次检测当中，除了SDK ，工作人员还发现一些知名App也有收集用户隐私的现象，比如酷音铃声、手机铃声、铃声大全等。

近年公开的相关规定明确了管理SDK的必要性

公开资料显示， SDK违规获取个人信息的事例近几年时有发生。
2015年10月，一款名为“有米”的广告SDK被发现收集了用户的个人身份信息，包括Apple ID邮件地址、设备识别码，以及安装在手机上的App列表信息。最后，使用有米SDK的256款App被苹果应用商店下架。
2017年8月，同样是广告SDK的“个信”被发现内置后门，在未经用户允许的情况下收集用户隐私数据，获取用户设备中全部已经安装App列表。嵌入该SDK的500多款App的总下载量超过1亿次，最终全部被Google Play下架。
南都个人信息保护研究中心与中国金融认证中心（CFCA）去年联合发布的《常用第三方SDK收集使用个人信息测评报告》对60款常用App以及主流SDK进行了测评。结果显示，有的SDK会对环境或通话录音，有的则获取了用户的地理位置，但均未在隐私政策里告知。
此外，部分SDK能够通过代码收集超出其声明权限范围的个人信息。比如仅声明会获取地理位置信息，但其代码包括读取第三方平台账户信息、已绑定的NFC支付卡信息等内容。这些可能导致SDK隐瞒收集用户个人信息的情况。
南都采访人员梳理发现，近年来公开的不少个人信息保护、数据安全相关法规和标准已经明确了管理SDK的必要性。
《数据安全管理办法（征求意见稿）》第三十条规定，网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。
《信息安全技术个人信息安全规范》修订草案则要求，涉及SDK等第三方嵌入或接入的自动化工具的个人信息控制者，宜开展技术检测确保第三方的个人信息收集、使用行为符合约定要求；宜对其收集个人信息的行为进行审计，发现超出约定行为的及时切断接入。

采写：南都采访人员蒋琳南都个人信息保护研究中心研究员尤一炜
编辑：尤一炜