SDK,是在手機軟件中,提供某種功能或服務的插件。2019年11月,上海市消費者權益保護委員會委托第三方公司對一些手機軟件中的SDK插件進行了專門的測試,卻發現一些SDK暗藏玄機。
上海市消費者權益保護委員會 副主任兼秘書長 陶愛蓮:測試當中我們發現SDK插件,沒有經過用戶的許可來竊取消費者手機當中的一些,比如說像短信的內容 。
依據《信息安全技術 移動互聯網應用(App)收集個人信息基本規范》《App違法違規收集使用個人信息行為認定方法》等相關規定,技術人員檢測了50多款手機軟件,這些軟件中分別含有上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家公司的SDK插件,這兩個插件,都存在用戶不知情的情況下,偷偷竊取用戶隱私的嫌疑,涉及國美易卡、遙控器、最強手電、全能遙控器、91極速購、天天回收、閃到、蘿卜商城、紫金普惠等50多款手機軟件。
檢測人員:它會讀取這部設備的IMEI、IMSI、運營商信息 、電話號碼、短信記錄、通訊錄、應用安裝列表、傳感器信息,這些都屬于用戶隱私的東西,它去讀。
這些APP里的SDK來讀取用戶的隱私信息只是第一步,讀取完成后,還會悄悄地將數據傳送到指定的服務器存儲起來。除了電話號碼、通訊錄這樣的個人隱私,北京招彩旺旺信息技術有限公司的SDK,甚至涉嫌通過菜譜、家長幫、動態壁紙等多款軟件,竊取用戶更加隱私的信息。
檢測人員:會未經用戶同意,收集用戶的聯系人、短信、 位置、設備信息等等。尤其短信,短信內容被全部傳走,這個是很嚴重的。這是我這部手機中,存在的真實的短信記錄。它的下行號碼是誰,它的短信內容是什么,都可以很清晰地看到。
“您好我是陳思”“驗證碼為903474,請勿告知他人”等等,用戶如此重要而私密的信息就這樣被傳送到第三方服務器,檢測人員介紹,因為SDK能夠收集用戶的短信,以及應用安裝信息,一旦用戶有網絡交易的驗證碼被獲取,極有可能造成嚴重的經濟損失。
此外,雖然SDK只是一個看似普通的插件,但是因為它對所有的手機APP具有通用性,很多手機軟件可能都嵌入了同一個SDK,因此一旦某個SDK竊取用戶個人隱私,將會涉及眾多手機軟件。
檢測人員:這些SDK會分別嵌在不同的APP中,這樣涉及的量就比較大了 。
在此次檢測當中除了內嵌SDK插件以外,工作人員還發現一些知名手機APP也有收集用戶隱私的現象。涉及酷音鈴聲、手機鈴聲、鈴聲大全等多款軟件。