你可能不知道SDK是啥,但你手机里的秘密它可知道……

时间:2019-08-12 来源: 旅游

中国电子银行网2天前我想分享image.php?url=0Mm11Ra9ij

文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收到的新闻,促销广告,甚至是短信验证码,您都可能来自第三方。

这些集成在应用程序中的第三方工具包称为SDK(软件开发工具包)。它们可以帮助应用程序有效且经济地实现地图,支付,统计,社交,广告等一系列功能,并且还能够获得大量的设备信息和用户个人信息。

但是,第三方SDK引入的安全问题也很明显。例如,开发人员的安全级别可能不均衡,这可能导致SDK中的安全漏洞;开发人员将故意保留“后门”以收集用户信息或执行未经授权的操作。

2015年10月,发现名为“Million”的第三方广告SDK收集有关用户的个人身份信息,包括手机上安装的Apple ID电子邮件地址,设备ID和应用程序列表信息。最后,从Apple App Store中删除了256个带有MK SDK的应用程序。

2017年8月,发现第三方广告SDK的“信件”具有内置后门,未经用户许可收集用户隐私数据,并获取已安装在用户设备中的所有应用列表。 SDK中嵌入的500多个应用程序已下载超过1亿次,最终已从Google Play中删除。

为了找出SDK的合规状态以获取用户的个人信息,南都个人信息保护研究中心和中国金融认证中心(CFCA)评估了60种常用应用和主流SDK,并联合发布《常用第三方SDK收集使用个人信息测评报告》(下文)《报告》,可在文章末尾获得)。

《报告》显示在嵌入式应用程序的隐私政策或弹出窗口中未提及由Xunfei和TalkingData等SDK收集的个人信息; TalkingData和Youmeng SDK可能会隐藏他们想要收集的个人信息;携程,百度地图然后,SDK会将未加密的用户个人信息甚至个人敏感信息传回其自己的服务器。

平均而言,每个应用程序使用19.3 SDK来获得最多的IMEI号

《报告》通过反向分析,数据包捕获,功能挂钩等技术手段,在社交娱乐,休闲娱乐,生活服务,导购,旅游交通,移动金融等行业中选择了60个热门应用,分析这些应用所使用的SDK应用。收集有关用户的个人信息。

image.php?url=0Mm11RL3sF

删除通常不易检测App的移动金融行业应用程序,每个应用程序使用的平均SDK数量为19.3;

image.php?url=0Mm11RuLA2

根据App集成的SDK类别,消息推送类SDK最多,综合类和辅助开发类是第二类。

值得注意的是,微软SDK,腾讯开放SDK,小米推送SDK,华为SDK,支付宝SDK,Facebook SDK和Airbnb SDK都嵌入了超过一半的应用程序,全都来自互联网公司。

从广泛使用SDK的角度来看,App对SDK有很强的依赖性。 SDK安全性已成为整个移动互联网生态系统中极为重要的一部分。他们收集哪些信息,如何使用和保护它们也非常重要。

《报告》显示在检测时间内,60个应用程序使用的966个SDK中的150个已获得IMEI,IMSI和其他移动设备信息,这是所有类别中最常见的;超过35个SDK已经获得了各种网络。 IP地址,MAC地址,Wi-Fi热点信息等信息。

南都记者表示,这些信息通常用于统计分析和有针对性的推送目的。此外,还有10个SDK可以获取用户行为信息,例如锁定屏幕,安装/升级/卸载应用程序。

高级产品研发专家马钰源发表了一篇文章,揭示了SDK收集的用户信息的混乱形象,并根据危险程度将信息分为高,高,中,低四个层次。 “获取本地安装的应用程序信息”是一种“非常高”的隐私信息。

文章指出,通过收集此类信息,SDK可以清楚地了解用户的偏好。“例如,如果设备用户安装了某种类型的同朋友应用程序,则意味着这些极其隐私的信息将被泄露。”

中国银行和Pleasant Wealth App使用的SDK没有得到SDK记录和定位的通知

《报告》还发现一些SDK也获得了诸如用户的电话号码,地理位置,移动视频和相册之类的个人信息。有些是为了实现相应的功能,但有些是在未经用户许可的情况下获得的。

例如,嵌入在Daily App中的支付宝SDK已经获得了用户的手机号码。作为支付类SDK,获取移动电话号码的行为与其支付功能没有直接关系,并且行为的合法性是值得怀疑的。

image.php?url=0Mm11RyjcO

国家标准《信息安全技术 个人信息安全规范》修订草案要求当个人信息管理员访问具有在其产品或服务中收集个人信息功能的第三方产品或服务时,应明确双方和个人的安全责任。通过合同实施。信息安全措施,并要求第三方获得收集个人信息的授权许可。

换句话说,SDK还需要由用户授权以收集个人信息。由于SDK不直接与用户交互,因此使用它的应用程序有义务通知用户。但是,很多应用程序都没有这样做。 SDK可能会在他们不知情的情况下收集用户的隐私。

中国银行移动银行应用程序的迅飞SDK可以“记录环境或通话”,但中国银行移动银行应用程序不提供任何隐私政策,更不用说通知用户并获得同意; TalkingData使用的友好财富应用程序和愉快的贷款贷款应用程序SDK获取了用户的地理位置,但未在隐私政策中通知用户。

此外,《报告》还列出超出规范收集的“其他信息”的[111xSDA],即除App的基本业务功能之外的个人信息。 (获取此类信息并非违法,但需要积极获取。用户同意)。

image.php?url=0Mm11RNYZS

本文的规定,但按照“知情同意”的原则,《网络安全实践指南移动互联网应用基本业务功能必要信息规范》认为,即使App本身不需要信息,但需要收集SDK,App也应该弹出收集上述个人信息时收集用户同意的窗口。保护用户的知情同意权。

TalkingData,SDK之友或隐藏用户个人信息的收集

SDK实现功能需要申请相应的系统权限,但它收集的个人信息是否仅限于权限范围?

image.php?url=0Mm11RhqM6

《报告》对15个主流SDK的深入分析发现,SDK的系统权限需要应用于5到14项,Aurora Data Analysis SDK和百度Map SDK应用最多。

在官方文档中提供相关信息的10个SDK中,30%可以通过代码收集超出其声明范围的个人信息。也就是说,它们可能存在以隐藏用户的个人信息的收集。

image.php?url=0Mm11RIEWs

例如,TalkingData SDK仅声明它将获取地理位置信息,但其代码还包括读取第三方平台帐户信息,绑定NFC支付卡信息等;

Ping ++,AUO SDK具有获取位置信息的代码,但未在官方文档中声明。

《报告》指出仍有一些SDK会将未加密的用户个人信息甚至个人敏感信息传回服务器。

值得注意的是,这里可能存在两种未加密的情况,一种是通信信道未加密(例如http),另一种是传输内容未加密(例如使用https但不加密数据)本身)。

例如,Ping ++ SDK,TalkingData SDK,携程SDK,百度地图SDK将未加密的地理位置信息传输到服务器。

此个人信息在App开发人员,单个或多个第三方之间流动,增加了披露和滥用个人信息的风险。

南方记者发现,近年来推出的许多个人信息保护和数据安全法规和标准已明确定义了管理SDK的必要性。

规定网络运营商应明确识别访问其平台的第三方应用的数据安全要求和责任,并监督和监督第三方应用运营商,以加强数据安全管理。

《报告》修订草案要求参与自动化工具的个人信息管理员(如第三方嵌入或访问的SDK)应进行技术测试,以确保第三方个人信息的收集和使用行为符合商定的要求;对该行为进行了审计,发现访问被及时切断,超出了商定的行为。

收集报告投诉

image.php?url=0Mm11Ra9ij

文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收到的新闻,促销广告,甚至是短信验证码,您都可能来自第三方。

这些集成在应用程序中的第三方工具包称为SDK(软件开发工具包)。它们可以帮助应用程序有效且经济地实现地图,支付,统计,社交,广告等一系列功能,并且还能够获得大量的设备信息和用户个人信息。

但是,第三方SDK引入的安全问题也很明显。例如,开发人员的安全级别可能不均衡,这可能导致SDK中的安全漏洞;开发人员将故意保留“后门”以收集用户信息或执行未经授权的操作。

2015年10月,发现名为“Million”的第三方广告SDK收集有关用户的个人身份信息,包括手机上安装的Apple ID电子邮件地址,设备ID和应用程序列表信息。最后,从Apple App Store中删除了256个带有MK SDK的应用程序。

2017年8月,发现第三方广告SDK的“信件”具有内置后门,未经用户许可收集用户隐私数据,并获取已安装在用户设备中的所有应用列表。 SDK中嵌入的500多个应用程序已下载超过1亿次,最终已从Google Play中删除。

为了找出SDK的合规状态以获取用户的个人信息,南都个人信息保护研究中心和中国金融认证中心(CFCA)评估了60种常用应用和主流SDK,并联合发布《信息安全技术 个人信息安全规范》(下文)《常用第三方SDK收集使用个人信息测评报告》,可在文章末尾获得)。

《报告》显示在嵌入式应用程序的隐私政策或弹出窗口中未提及由Xunfei和TalkingData等SDK收集的个人信息; TalkingData和Youmeng SDK可能会隐藏他们想要收集的个人信息;携程,百度地图然后,SDK会将未加密的用户个人信息甚至个人敏感信息传回其自己的服务器。

平均而言,每个应用程序使用19.3 SDK来获得最多的IMEI号

《报告》通过反向分析,数据包捕获,功能挂钩等技术手段,在社交娱乐,休闲娱乐,生活服务,导购,旅游交通,移动金融等行业中选择了60个热门应用,分析这些应用所使用的SDK应用。收集有关用户的个人信息。

image.php?url=0Mm11RL3sF

删除通常不易检测App的移动金融行业应用程序,每个应用程序使用的平均SDK数量为19.3;

image.php?url=0Mm11RuLA2

根据App集成的SDK类别,消息推送类SDK最多,综合类和辅助开发类是第二类。

值得注意的是,微软SDK,腾讯开放SDK,小米推送SDK,华为SDK,支付宝SDK,Facebook SDK和Airbnb SDK都嵌入了超过一半的应用程序,全都来自互联网公司。

从广泛使用SDK的角度来看,App对SDK有很强的依赖性。 SDK安全性已成为整个移动互联网生态系统中极为重要的一部分。他们收集哪些信息,如何使用和保护它们也非常重要。

《报告》显示在检测时间内,60个应用程序使用的966个SDK中的150个已获得IMEI,IMSI和其他移动设备信息,这是所有类别中最常见的;超过35个SDK已经获得了各种网络。 IP地址,MAC地址,Wi-Fi热点信息等信息。

南都记者表示,这些信息通常用于统计分析和有针对性的推送目的。此外,还有10个SDK可以获取用户行为信息,例如锁定屏幕,安装/升级/卸载应用程序。

高级产品研发专家马钰源发表了一篇文章,揭示了SDK收集的用户信息的混乱形象,并根据危险程度将信息分为高,高,中,低四个层次。 “获取本地安装的应用程序信息”是一种“非常高”的隐私信息。

文章指出,通过收集此类信息,SDK可以清楚地了解用户的偏好。“例如,如果设备用户安装了某种类型的同朋友应用程序,则意味着这些极其隐私的信息将被泄露。”

中国银行和Pleasant Wealth App使用的SDK没有得到SDK记录和定位的通知

《报告》还发现一些SDK也获得了诸如用户的电话号码,地理位置,移动视频和相册之类的个人信息。有些是为了实现相应的功能,但有些是在未经用户许可的情况下获得的。

例如,嵌入在Daily App中的支付宝SDK已经获得了用户的手机号码。作为支付类SDK,获取移动电话号码的行为与其支付功能没有直接关系,并且行为的合法性是值得怀疑的。

image.php?url=0Mm11RyjcO

国家标准《报告》修订草案要求当个人信息管理员访问具有在其产品或服务中收集个人信息功能的第三方产品或服务时,应明确双方和个人的安全责任。通过合同实施。信息安全措施,并要求第三方获得收集个人信息的授权许可。

换句话说,SDK还需要由用户授权以收集个人信息。由于SDK不直接与用户交互,因此使用它的应用程序有义务通知用户。但是,很多应用程序都没有这样做。 SDK可能会在他们不知情的情况下收集用户的隐私。

中国银行移动银行应用程序的迅飞SDK可以“记录环境或通话”,但中国银行移动银行应用程序不提供任何隐私政策,更不用说通知用户并获得同意; TalkingData使用的友好财富应用程序和愉快的贷款贷款应用程序SDK获取了用户的地理位置,但未在隐私政策中通知用户。

此外,《信息安全技术 个人信息安全规范》还列出超出规范收集的“其他信息”的[111xSDA],即除App的基本业务功能之外的个人信息。 (获取此类信息并非违法,但需要积极获取。用户同意)。

image.php?url=0Mm11RNYZS

本文的规定,但按照“知情同意”的原则,《报告》认为,即使App本身不需要信息,但需要收集SDK,App也应该弹出收集上述个人信息时收集用户同意的窗口。保护用户的知情同意权。

TalkingData,SDK之友或隐藏用户个人信息的收集

SDK实现功能需要申请相应的系统权限,但它收集的个人信息是否仅限于权限范围?

image.php?url=0Mm11RhqM6

《网络安全实践指南移动互联网应用基本业务功能必要信息规范》对15个主流SDK的深入分析发现,SDK的系统权限需要应用于5到14项,Aurora Data Analysis SDK和百度Map SDK应用最多。

在官方文档中提供相关信息的10个SDK中,30%可以通过代码收集超出其声明范围的个人信息。也就是说,它们可能存在以隐藏用户的个人信息的收集。

image.php?url=0Mm11RIEWs

例如,TalkingData SDK仅声明它将获取地理位置信息,但其代码还包括读取第三方平台帐户信息,绑定NFC支付卡信息等;

Ping ++,AUO SDK具有获取位置信息的代码,但未在官方文档中声明。

《报告》指出仍有一些SDK会将未加密的用户个人信息甚至个人敏感信息传回服务器。

值得注意的是,这里可能存在两种未加密的情况,一种是通信信道未加密(例如http),另一种是传输内容未加密(例如使用https但不加密数据)本身)。

例如,Ping ++ SDK,TalkingData SDK,携程SDK,百度地图SDK将未加密的地理位置信息传输到服务器。

此个人信息在App开发人员,单个或多个第三方之间流动,增加了披露和滥用个人信息的风险。

南方记者发现,近年来推出的许多个人信息保护和数据安全法规和标准已明确定义了管理SDK的必要性。

规定网络运营商应明确定义访问其平台的第三方应用的数据安全要求和责任,并监督和监督第三方应用运营商,以加强数据安全管理。

《报告》修订草案要求参与自动化工具的个人信息管理员(如第三方嵌入或访问的SDK)应进行技术测试,以确保第三方个人信息的收集和使用行为符合商定的要求;对该行为进行了审计,发现访问被及时切断,超出了商定的行为。

频道热点
  1. ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐
  2. 说到杨颖,我们都知道她的表演技巧在娱乐界被认为是“坏人”。从《孤芳不自赏》开始,杨莹的表演已经“精湛
  3. ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小
  4. 说到杨颖,我们都知道她的表演技巧在娱乐界被认为是“坏人”。从《孤芳不自赏》开始,杨莹的表演已经“精湛
  5. 说到杨颖,我们都知道她的表演技巧在娱乐界被认为是“坏人”。从《孤芳不自赏》开始,杨莹的表演已经“精湛
  6. ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐
  7. 中国电子银行网2天前我想分享文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收?
  8. ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐
  9. ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小
  10. ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小
新闻排行
  1. ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小

    ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小...

  2. 说到杨颖,我们都知道她的表演技巧在娱乐界被认为是“坏人”。从《孤芳不自赏》开始,杨莹的表演已经“精湛

    说到杨颖,我们都知道她的表演技巧在娱乐界被认为是“坏人”。从《孤芳不自赏》开始,杨莹的表演已经“精湛...

  3. 中国电子银行网2天前我想分享文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收?

    中国电子银行网2天前我想分享文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收?...

  4. 说到杨颖,我们都知道她的表演技巧在娱乐界被认为是“坏人”。从《孤芳不自赏》开始,杨莹的表演已经“精湛

    说到杨颖,我们都知道她的表演技巧在娱乐界被认为是“坏人”。从《孤芳不自赏》开始,杨莹的表演已经“精湛...

  5. ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小

    ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小...

  6. ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐

    ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐...

  7. ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐

    ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐...

  8. ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐

    ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐...

  9. ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐

    ?林高远王曼昱挺进混双决赛梁靖朱雨玲遭淘汰体育郭健于7月26日从天津武清派出。今天,2019年全国乒乓球锦标赛结束了混合双打半决赛的比赛。最后,林高原/王莽和周启浩/陈兴彤在决赛中脱颖而出。经过两组徐...

  10. ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小

    ?  一块去远方昨天我要分享  肥皂,最古老的洗涤产品之一。追溯到肥皂的历史,直到宋朝,出现了一种合成洗涤剂。它是通过粉碎天然金合欢,加入香料和其他东西制成橙色球的大小,专门用于洗脸。然而,如今这种小...

日期归档