互联网|金融App注意!工信部发文整治SDK乱象 进行“地毯式”排查


移动支付网 作者 伟辰:7月17日 , 工业和信息化部发文要求严厉查处“315晚会”曝光的信息通信领域违规行为 。
第一 , 立即组织北京市、上海市通信管理局对涉事两家SDK企业 , 进行核查处理;
第二 , 立即组织第三方检测机构对曝光使用上述两家SDK的50余款App进行技术检测 , 对存在问题的App第一时间启动下架程序;
第三 , 立即启动应用商店联动处置机制 , 责成国内主要应用商店 , 第一时间对类似问题进行“地毯式”排查 , 对发现问题一律第一时间予以下架 , 同时要求应用商店及时通知App运营开发者自查自纠 , 及时发现、处理违规收集用户个人信息的SDK 。
互联网|金融App注意!工信部发文整治SDK乱象 进行“地毯式”排查
本文插图

SDK是SoftwareDevelopment Kit的缩写 , 即“软件开发工具包” 。 简单来说 , 它是辅助开发某一类应用软件的相关文档、范例和工具的集合 。 对App来说 , 可以将某项功能交给第三方来开发以缩短周期 。
据移动支付网了解 , 具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段 , 成为整个手机软件供应链中不可或缺的一部分 。

近年来 , App个人信息违规采集问题频现 , 企业往往将App个人信息安全问题聚焦在自身代码的开发层面 , 很容易忽视App中集成的第三方SDK安全问题 , 殊不知正是这些提供便利的第三方SDK正在背后插刀 。
由于同一款SDK有可能会同时存在于不同款App当中 , 用户一款手机有可能同时被同一款SDK通过不同App收集用户数据 。 这样第三方SDK可以获取大批量不同App的用户数据 。
第三方SDK可以通过挖掘用户数据形成种种工具 , 如通过App的安装情况以及获取的用户定位 , 绘制出热力图帮助线下店铺选址;通过设备指纹信息算法信息 , 帮助App进行智能获客、智能营销 。
以上是第三方SDK将流量变现的主要方式 , 属于比较克制的利用 。 有安全公司指出 , 部分SDK会采用Android操作系统的热更新机制 , 在集成环节伪装成正常SDK , 逃避集成方的检查 , 而在应用发布后运行在用户手机时 , 通过热更新机制从SDK的服务端动态加载恶意代码 。
恶意SDK有可能发动恶意的攻击行为 , 例如在用户毫无察觉的情况下打开相机拍照 , 通过发送短信盗取双因素认证令牌 , 或将设备变成僵尸网络的一部分 。

2018年4月 , 腾讯安全反诈骗实验室的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推” , 它通过预留的“后门”云控开启恶意功能 , 私自ROOT用户设备并植入恶意模块 , 进行恶意广告行为和应用推广 , 以实现牟取灰色收益 。 300多款知名应用遭遇“寄生推”的病毒感染 , 其中不乏用户超过千万的巨量级软件 , 潜在影响用户超2000万 。
根据《网络安全法》第四十三条、第四十四条规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息 , 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的 , 有权要求网络运营者删除其个人信息 。
互联网|金融App注意!工信部发文整治SDK乱象 进行“地毯式”排查
本文插图

《网络安全法》第六十九条规定 , 违反四十三条、第四十四条 , 可处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款 , 责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等 。
互联网|金融App注意!工信部发文整治SDK乱象 进行“地毯式”排查
本文插图

7月16日 , “315晚会”再次曝光手机超限违规收集个人信息情况 。 据央视报道 , 上海市消费者权益保护委员会委托第三方对市场上的App进行检测 , 发现某些第三方开发的SDK包存在违规收集用户个人信息的情况 。


推荐阅读