隐私|手机App又背着你干“坏事”，央视曝光50余款App的SDK插件窃取用户信息检测|短信|Wi-Fi|

_原题为 手机App又背着你干“坏事” ，央视曝光50余款App的SDK插件窃取用户信息
科技发展至今日，我们的隐私安全依旧无处遁形。
315 曝光 50 余款 App 的窃贼插件
昨天，在因疫情迟来的 315 晚会上曝光了一些手机应用中存在第三方 SDK 插件，窃取用户信息的情况。这些违规插件不仅可以将你的短信全部传走，甚至包括网络交易验证码也不在话下。

文章图片

据 315 晚会报道， 2019 年 11 月，在上海市消费者权益保护委员会委托第三方公司对一些手机软件中的 SDK 插件进行测试的时候，就发现一些 SDK 里存在的问题。
技术人员一共检测了 50 多款手机软件，这些软件中分别包含了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的 SDK 插件。而这两个公司的插件，都存在在用户不知情的情况下，私自窃取用户隐私信息的问题。涉及到的手机 App 达 50 多款，包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城等。

文章图片

文章图片

据介绍，这两个插件会读取这部设备的 IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息。

文章图片

文章图片

你以为这就完了吗，更可怕的是，这些 App 里的 SDK 在读取完成后，还会悄悄地将数据传送到指定的服务器存储起来。
细思极恐！吓得我赶快删掉了所有短信。
此外，检测人员也指出：
“虽然 SDK 只是一个看似普通的插件，但是因为它对所有的手机 App 具有通用性，很多手机软件可能都嵌入了同一个 SDK ，因此一旦某个 SDK 窃取用户个人隐私，将会涉及众多手机软件。 ”
对此，网友也直呼：“大数据时代，我们居然毫无安全可言” 。

文章图片

从人脸识别 5 毛起售再到被 App 私自窃取信息，我们的隐私安全到底应该如何谈起，这一话题也在知乎引起热议。
SDK 插件是怎么窃取用户隐私的？
正如上文所说，卸载 App 也并不是万全之策，所以，大家更好奇的还是 SDK 插件如何窃取隐私的？
回答这个问题之前，我们先了解下 SDK 插件的信息收集情况。
根据南都此前发布的《常用第三方 SDK 收集使用个人信息测评报告》（以下简称《报告》）显示：

文章图片

通过对 60 款 App 进行 5-30 分钟时长不等的逐一检测后发现，可以将 SDK 实际收集的信息划分为五类：

手机设备信息（如IMEI、IMSI 等设备唯一识别码）；
网络信息（如 IP 地址、MAC 地址、Wi-Fi热点等）；
手机状态信息（如已安装/运行中的应用信息）；
用户行为信息（如锁屏、安装、升级、卸载应用软件）；
用户个人信息（如电话号码、地理位置、通话记录）。

收集用户信息方面，据统计，在检测时间内， 60 款 App 使用的 966 个 SDK 中，有 150 个获取了 IMEI、IMSI 等手机设备信息，在所有类别中最为频繁；其次是 Wi-Fi 连接信息（ IP 地址、MAC 地址）、扫描周围热点、Wi-Fi 热点信息（SSID）、运营商与基站信息等各类网络信息，都有 35 个以上 SDK 获取；还有 10 个 SDK 获取了用户行为信息，比如锁屏、安装/升级/卸载 App 。

隐私|手机App又背着你干“坏事”，央视曝光50余款App的SDK插件窃取用户信息

文章图片

此外，用户的电话号码、地理位置、手机视频和相册等个人信息也被一些 SDK 获取，尤其是地理位置信息，被 32 个 SDK 获取。
值得注意的是，钉钉、铁路12306、闲鱼等 App 使用的支付宝 SDK ，派派、陌陌等 App 使用的声网 SDK , 百度贴吧 App 以及铁路12306 App 使用的梆梆安全 SDK 都收集了传感器信息。很多情况下，步数、心跳等与健康相关的个人信息就是通过“传感器”权限收集。