APP个人隐私数据保护之SDK – 作者:fjhfjh128

        随着智能手机的普及，人们在沟通、社交、娱乐等活动中越来越依赖于手机App软件，据工信部发布的消息，我国移动应用的手机App软件已经有接近460万个，排名全球第一，电子政务、电子商城、网上外卖、网约车、游戏、短视频等丰富的应用，全方位影响这大家的衣食住行和生活方式。然而，在APP软件给人们生活带来极大方便的同时，App中暗藏的陷阱也给人们带来了困扰，给个人隐私信息保护带来了巨大挑战，特别是实名制要求的普及，个人隐私数据更容易被收集、被泄露、被营销甚至被诈骗，在今年的央视315晚会上，多款手机App中存在的第三方SDK插件被曝出在用户不知情的情况下，窃取用户隐私数据情况。

        SDK的全称为software development kit（软件开发工具包），它是集成在手机App里的第三方工具包，可以理解为手机App的组装模块。通过SDK手机App得以低成本地实现很多功能，比如地图、支付、社交、广告等，常见的一些SDK有：百度地图 SDK 、微信支付分享 SDK 、支付宝支付 SDK 等。也有针对某项软件功能的SDK ，如推送技术、图像识别技术、移动支付技术、语音识别分析技术等。为了鼓励更多的开发者使用，很多SDK是第三方服务商免费提供的，使用者无需对项目的每个功能进行开发，选择合适稳定的SDK服务，只需花费很少的精力就可以在项目中集成某项功能，从而有效减少程序员的工作量，降低软件的开发难度。但是，SDK给手机App带来上述便利的同时，也存在不小的安全隐患问题。

        据315晚会报道，2019年11月，上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行测试的时候，发现一些SDK存在问题。技术人员一共检测了50多款手机软件，这些软件中分别包含了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的SDK插件。这两个公司的插件，都存在用户不知情的情况下，被私自窃取隐私信息的问题。涉及的APP软件50多款，包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城等。具体技术细节是，这两家公司的SDK会读取设备的IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息，并在读取这些隐私信息后，私自将数据传送到指定的服务器。而北京招彩旺旺信息技术有限公司的SDK，甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件，窃取用户更加隐私的信息。 

        检测人员警告称，因为SDK能够收集用户的短信，以及应用安装信息，一旦用户有网络交易的验证码被获取，极有可能造成严重的经济损失。此外，虽然SDK只是一个看似普通的插件，但是因为它对所有的手机App具有通用性，很多手机软件可能都嵌入了同一个SDK，因此一旦某个SDK窃取用户个人隐私，将会涉及众多手机软件。在此次检测当中除了内嵌SDK插件以外，工作人员还发现一些知名手机App也有收集用户隐私的现象，涉及酷音铃声、手机铃声、铃声大全等多款软件。

        事实上，今年的315晚会并非是SDK第一次被曝出存在违规获取用户隐私的问题。早在2019年9月15日，国家计算机病毒中心发布的《移动App违法违规问题及治理举措》中，就指出了App和SDK存在的六大类问题，包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。

        除此之外，在知乎上，也一直有软件开发领域的相关从业人员呼吁要重视SDK侵犯用户隐私的问题，但一直未引起公众重视。而此次315晚会的曝光，再次将相关问题由幕后推向了前台。

        如何防范SDK给App带来的安全隐患呢？对于App的开发者来说，应尽量选择有一定市场基础的第三方SDK，并对代码进行扫描，了解SDK进行了哪些操作，采集了哪些数据，存不存在违规操作。对于普通用户来说，应尽量从手机软件官方网站、信誉良好的第三方应用店铺等正规渠道下载App；在安装APP时，应认真查看应用程序类型及其申请的权限，判断其是否申请不必要的权限，如有可疑，应果断停止安装；不轻易点击APP弹出广告，因为其链接可能隐含不安全因素，消耗手机流量，泄露个人隐私；定期检查智能手机，安装可靠的安全防护软件，更新病毒库。

来源：freebuf.com 2020-08-14 17:17:25 by: fjhfjh128