近年来,随着智能手机的普及和APP应用的激增,用户隐私安全问题越来越引发关注。近期,有关SDK(软件开发工具包)侵犯用户隐私的事件再次被揭露,引发了公众和监管部门的广泛关注。通过对多个APP的调查,记者发现,虽然许多APP开发者并未直接参与不当数据收集,但却因集成第三方SDK而将用户信息于不法分子或隐秘的恶意行为之下。这种现象的频发,揭示了一个被忽视的安全隐患。
SDK隐蔽盗取隐私成常见隐患
SDK是为了帮助开发者便捷地将一些通用功能(如地图、支付、广告、数据统计等)集成到APP中的工具包,正是这些工具包往往具有收集用户设备信息和个人隐私的能力。每款APP可能同时集成多个SDK,殊不知其中的某些SDK在默默地收集用户的IMEI、IMSI、运营商信息、电话记录、短信内容、通讯录及应用安装列表等敏感数据。这些信息往往在用户不知情的情况下,经过SDK悄悄传送到远程服务器,造成严重的隐私。
在今年的3·15晚会中,上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的SDK插件被指控存在未经用户同意窃取个人信息的行为。相关调查表明,这些SDK不仅窃取了设备的多项关键信息,还会将数据传输到特定的服务器,完全不告知用户。工商信息显示,北京招彩旺旺信息技术有限公司成立于2016年,主营软件服务和技术开发,而上海氪信则是一家大数据风控企业,成立于2015年,专注于为金融机构提供智能化风控系统。
SDK问题波及50多款APP
据悉,涉及的这两家公司所提供的SDK插件,已经在50多款APP中被使用。这些APP通过集成这些SDK插件,用户的隐私数据被无声无息地获取。信息通信研究院安全研究所的陈湉副在2019年的一次物联网安全峰会上明确表示,任何集成了问题SDK的APP,都不可避免地会面临隐私安全的风险。
隐蔽代码更新加大隐私风险
SDK通过热更新机制进意代码加载,是另一大风险。梆梆安全的资深专家谭阳解释称,一些SDK插件会通过伪装正常的更新,绕过APP开发者的检查,利用热更新在用户安装APP后,从远程服务器动态加载恶意代码,悄无声息地窃取个人数据。这种方式尤其隐蔽,用户无法察觉,导致了许多APP在发布后仍然存在潜在的隐私风险。
据梆梆安全的全球应用监管平台数据,几乎所有APP都集成了多个第三方SDK,平均每个APP集成的SDK数量超过15个。这些SDK在集成时往往未经过严格的安全,一旦其中有恶意代码,就有可能跟随APP一起传播,导致用户信息被盗取。
企业忽视第三方SDK安全漏洞
专家指出,尽管企业在开发APP时一般会关注自身代码的安全性,但往往忽视了APP中集成的第三方SDK的安全问题。这些外部工具包的安全性未必能得到开发者的充分把握,因此造成了一些原本可靠的APP也面临着不可预见的风险。
梆梆安全的谭阳强调,近年来APP频繁发生个人信息事件,很多企业将安全问题仅仅局限于自身代码的,却没有意识到,正是这些第三方SDK插件成为了潜在的“安全隐患”。对于此类问题,相关监管部门也已了相关法规,并加强了对APP及其SDK的检查与治理。
用户如何防范SDK窃取隐私?
为了有效防止SDK窃取用户隐私,专家建议,用户在使用APP时,应特别注意APP请求的权限范围,并保持警惕。特别是在APP请求获取设备权限时,用户要细致,避免过度授权。而APP开发者则应在隐私中明确列出所使用的SDK及其收集的信息类型,并告知用户这些信息的使用目的和风险。
专家还建议,APP可以在隐私中详细列出所使用的第三方SDK,包括每个SDK的功能、数据采集范围以及其所涉及的第三方公司,透明度的提升将有助于增强用户对APP的信任。
监管和企业改进措施
在监管方面,工信部和其他相关部门持续加强对APP隐私保护的,推动企业进行整改。以人人为例,2019年其4.3.3/4.3.4版因私自收集信息、共享数据给第三方、过度索权等问题被工信部通报。此后,人人在4.8.4版中整改了相关问题,详细列出了所有收集个人信息的用途,并且在隐私中公开了第三方SDK的名单及使用目的,确保了用户在知情的情况下授权。
SDK在提升APP功能的也带来了不可忽视的安全隐患。如何有效管理第三方SDK,确保用户隐私不被侵犯,仍然是开发者和监管部门需要持续关注的问题。