在科技发达的今天,我们的隐私依然无处可藏。
35曝光50多个app的小偷插件昨天,在因疫情而迟到的315晚会上,一些手机应用中的第三方SDK插件被曝光窃取用户信息。这些非法插件不仅可以发送你所有的短信,还可以包含网上交易验证码。
根据315党的举报,2019年11月,上海市消保委委托第三方公司对手机软件中的部分SDK插件进行检测时,发现SDK中存在一些问题。
SDK是软件开发工具包的缩写,即‘软件开发工具包’。一般来说,SDK可以实现Android开发工具、广告推送、图像识别或者移动支付等功能。通过SDK插件,App开发者不再需要针对每个功能进行开发,大大缩短了产品开发周期。
技术人员测试了50多种手机软件,分别是上海氪信息技术有限公司和北京蔡照旺旺信息技术有限公司的SDK插件。这两家公司的插件都存在在用户不知情的情况下窃取用户隐私信息的问题。涉及50多个手机app,包括国美易卡、遥控器、最强手电筒、全能遥控器、91极速购、天天回收、闪到、萝卜商城等。
根据介绍,这两个插件会读取这个设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息。
你以为这就完了吗?更可怕的是,这些app中的SDK会在读取后悄悄将数据转移到指定的服务器上存储。
我害怕极了!吓得我赶紧把短信全删了。
此外,检查专员还指出:
“虽然SDK只是一个看似普通的插件,但由于它对所有手机app都是通用的,很多手机软件都可能嵌入了相同的SDK,所以一旦某个SDK窃取了用户的个人隐私,就会涉及到很多手机软件。\"
对此,网友们也大呼:“大数据时代,我们毫无安全可言。”
从人脸识别卖五毛钱到App窃取信息,如何谈我们的隐私和安全,也在知乎上引起了热议。
SDK插件是如何窃取用户隐私的?如上所述,卸载App并不是万能的,所以人们更好奇SDK插件是如何窃取隐私的。
在回答这个问题之前,我们先了解一下SDK插件的信息收集。
根据杜南之前公布的《常用第三方 SDK 收集使用个人信息测评报告》(以下简称《报告》):
在对60个app逐一测试5-30分钟后,发现SDK实际收集的信息可以分为五类:
手机信息(如IMEI、IMSI等唯一识别码);
网络信息(如IP地址、MAC地址、Wi-Fi热点等。);
手机状态信息(如安装/运行的应用信息);
用户行为信息(如锁屏、安装、升级、卸载应用软件);
用户的个人信息(如电话号码、地理位置、通话记录)。
在收集用户信息方面,据统计,60个app使用的966个SDK中,有150个获取了IMEI、IMSI等移动设备信息,是所有类别中最频繁的;其次,各类网络信息,如Wi-Fi连接信息(IP地址、MAC地址)、扫描周边热点、Wi-Fi热点信息(SSID)、运营商和基站信息等,通过35个以上的SDK获取;还有10个获取用户行为信息的SDK,比如锁屏,安装/升级/卸载App。
此外,用户的电话号码、地理位置、手机视频、相册等个人信息也被一些SDK获取,尤其是地理位置信息,被32个SDK获取。
值得注意的是,钉钉、铁路12306、闲鱼等App使用的支付宝SDK,拍拍、陌陌等App使用的声网SDK,百度贴吧App,铁路12306 App使用的棒棒安全SDK都采集了传感器信息。在许多情况下,与健康相关的个人信息,如步数和心跳,是通过“传感器”机构收集的。
手机中的传感器主要用于计步。它的工作原理和麦克风一样,记录振动。每当手机扬声器发出声音时,这些振动就会被加速度传感器记录下来。只要还原这些细微的振动变化,就可以识别并解码音箱中的对话内容。
更可怕的是,手机App对加速度传感器的调用并不是什么高权限,不用问就能悄悄打开。在这种情况下,苹果和安卓手机都难逃被窃听的命运。
所以,你知道这个信息的重要性。
所以,重点来了,为什么这些SDK插件可以这么轻松的获取这么多信息?
一个很重要的原因是很多app在隐私政策中并没有对其设置限制。
003010显示很多app在催收前没有告知。比如宜人财App和宜人贷App使用的TalkingData SDK获取了用户的地理位置,但是两个App的隐私政策都没有提到会收集位置信息。换句话说,用户的隐私很可能是在用户不知情的情况下被SDK收集的。
所以收集用户信息是第一步,利用收集到的信息“作恶”是第二步。
步了,当然,这并不是指这些企业本身。
因为除了 App 个性化推送的需要,还离不开一条规模大、链条长、利益大的黑色产业链。
这个产业链背后在做什么,大家也有所了解。
简单来说,上游负责供货;中游负责信息处理与再加工,形成规模化市场;下游负责“应用变现”,通过电信诈骗、恶意营销等非法渠道牟取高额利润。产业链结构完整,各种信息明码标价。
根据 2017 年发布的《电子商务生态安全白皮书》推测,中国“网络黑产”从业人员已经超过 150 万,市场规模高达千亿级别。
以黑产中较为重要的交易产品——个人 App 账号密码为例。数十亿账号密码,被黑灰产业所掌握,他们大多数都是通过撞库、刷库造成账号被盗,而盗号衍生的产业链年获利超百亿元。
而据数据统计,每个人手机中平均有 56 款 App,少一点的可能十多个,多一点的,上百都有可能。中国应用商店数量有 200 多家,上架的 App 有 500 多万款。
那么,这些 App 有可能停止收集你的数据吗?
答案是:不可能。
App 不去挖掘用户的数据,就很难获得用户痛点和喜好,没有对用户痛点和喜好的洞察,就无法提供合适的产品和解决方案,也就无法创造商业价值。
如何避开这样的隐私曝光侵害?
那么,一个老生常谈的问题是如何避免我们的信息被窃取呢?可能很多人的第一想法当然是卸载这类 App ,但绝对禁止显然不是一条好路子,还是要从源头入手。
首先,对于企业而言,记录用户数据无法避免。很多厂商会记录用户的匿名数据,但侵犯用户隐私的关键在于,拿到用户数据后有没有脱敏,如何运用这些数据。所以,对于厂商而言,更为重要的工作应该是通过系统层面的更新,尽可能严格规范开发者行为,而不是让开发者举着你根本不会看的用户许可,冠冕堂皇拿走你的隐私。
对于开发商而言,则要尽可能选择有一定市场基础的第三方 SDK,尽量使用苹果和谷歌商店里选用的 SDK 进行集成。
其次,从政策层面上来规范,《数据安全管理办法(征求意见稿)》第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。
《信息安全技术 个人信息安全规范》修订草案则要求,涉及 SDK 等第三方嵌入或接入的自动化工具的个人信息控制者,宜开展技术检测确保第三方的个人信息收集、使用行为符合约定要求;宜对其收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
在 315 曝光后,工信部今日也表示将在第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业。
下一步,将采取常态化监管措施,加强移动互联网应用程序 App 综合治理。集聚产业力量,推动技术手段建设,大幅提升技术检测水平。加强监督检查,加大对各类违规行为的处置和曝光力度,对未经用户同意收集使用用户个人信息等违规行为,依法予以查处,切实维护用户合法权益。
最后,从个人层面来讲,在下载 App 时,最好选择恶意密度较低的应用商店,比如苹果的 Appstore、安卓手机的应用商店,不要在一些恶意 App 密度高的应用商店下载。
在安装 App 时,会弹出各种权限申请,此时一定要注意位置信息、手机通讯录等隐私权限,不常用的不要给。
此外,要定期清理手机内存数据,不要把身份证照片、银行卡号等关键信息留在手机内,定期查看手机应用权限。
还要警惕来源不明的二维码扫描、注册申请等,一些补贴、礼品很有可能是黑灰产为了收集个人信息的诱饵,2 块钱获得的数据被转手就能卖出 10 块钱。
发现信息被泄露后,也不要自认倒霉。按相关规定,消费者有权要求网络服务提供者删除个人隐私信息,还能向公安和互联网管理部门进行投诉举报。
当然,没有人喜欢主动出卖隐私,也不会有人觉得数据被私自调用是合情合理的事情,一旦这些后台行为的调用逐渐清晰和明朗化,系统也愿意给出更多限制性手段后,守住自己的私密数据,大概就不会成为一个难题了。
雷锋网雷锋网雷锋网
参考资料:
【1】https://www.zhihu.com/question/407312260
【2】https://www.toutiao.com/a6850075339721310724/
【3】http://www.cfca.com.cn/upload/cpbg.pdf
【4】https://mp.weixin.qq.com/s/juIfg8EYI9cAaJ_bwcl-Hw
![大将军[清软]完结下载_大将军[清软]完结2022最新破解版(今日已更新)](https://2uyx.com/wp-content/uploads/2022/08/0802103301554.png)
