你可能不知道SDK是啥,但你手机里的秘密它可知道……

时间:2019-08-30 来源: 国际新闻

中国电子银行网2天前我想分享

文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收到的新闻,促销广告,甚至是短信验证码,您都可能来自第三方。

这些集成在应用程序中的第三方工具包称为SDK(软件开发工具包)。它们可以帮助应用程序有效且经济地实现地图,支付,统计,社交,广告等一系列功能,并且还能够获得大量的设备信息和用户个人信息。

但是,第三方SDK引入的安全问题也很明显。例如,开发人员的安全级别可能不均衡,这可能导致SDK中的安全漏洞;开发人员将故意保留“后门”以收集用户信息或执行未经授权的操作。

2015年10月,发现名为“Million”的第三方广告SDK收集有关用户的个人身份信息,包括手机上安装的Apple ID电子邮件地址,设备ID和应用程序列表信息。最后,从Apple App Store中删除了256个带有MK SDK的应用程序。

2017年8月,发现第三方广告SDK的“信件”具有内置后门,未经用户许可收集用户隐私数据,并获取已安装在用户设备中的所有应用列表。 SDK中嵌入的500多个应用程序已下载超过1亿次,最终已从Google Play中删除。

为了找出SDK的合规状态以获取用户的个人信息,南都个人信息保护研究中心和中国金融认证中心(CFCA)评估了60种常用应用和主流SDK,并联合发布《常用第三方SDK收集使用个人信息测评报告》(下文)《报告》,可在文章末尾获得)。 《报告》显示在嵌入式应用程序的隐私政策或弹出窗口中未提及由Xunfei和TalkingData等SDK收集的个人信息; TalkingData和Youmeng SDK可能会隐藏他们想要收集的个人信息;携程,百度地图然后,SDK会将未加密的用户个人信息甚至个人敏感信息传回其自己的服务器。

平均而言,每个应用程序使用19.3 SDK来获得最多的IMEI号

《报告》通过反向分析,数据包捕获,功能挂钩等技术手段,在社交娱乐,休闲娱乐,生活服务,导购,旅游交通,移动金融等行业中选择了60个热门应用,分析这些应用所使用的SDK应用。收集有关用户的个人信息。

删除通常不易检测App的移动金融行业应用程序,每个应用程序使用的平均SDK数量为19.3;

根据App集成的SDK类别,消息推送类SDK最多,综合类和辅助开发类是第二类。

值得注意的是,微软SDK,腾讯开放SDK,小米推送SDK,华为SDK,支付宝SDK,Facebook SDK和Airbnb SDK都嵌入了超过一半的应用程序,全都来自互联网公司。

从广泛使用SDK的角度来看,App对SDK有很强的依赖性。 SDK安全性已成为整个移动互联网生态系统中极为重要的一部分。他们收集哪些信息,如何使用和保护它们也非常重要。

《报告》显示在检测时间内,60个应用程序使用的966个SDK中的150个已获得IMEI,IMSI和其他移动设备信息,这是所有类别中最常见的;超过35个SDK已经获得了各种网络。 IP地址,MAC地址,Wi-Fi热点信息等信息。

南都记者表示,这些信息通常用于统计分析和有针对性的推送目的。此外,还有10个SDK可以获取用户行为信息,例如锁定屏幕,安装/升级/卸载应用程序。

高级产品研发专家马钰源发表了一篇文章,揭示了SDK收集的用户信息的混乱形象,并根据危险程度将信息分为高,高,中,低四个层次。 “获取本地安装的应用程序信息”是一种“非常高”的隐私信息。

文章指出,通过收集此类信息,SDK可以清楚地了解用户的偏好。“例如,如果设备用户安装了某种类型的同朋友应用程序,则意味着这些极其隐私的信息将被泄露。”

中国银行和Pleasant Wealth App使用的SDK没有得到SDK记录和定位的通知

《报告》还发现一些SDK也获得了诸如用户的电话号码,地理位置,移动视频和相册之类的个人信息。有些是为了实现相应的功能,但有些是在未经用户许可的情况下获得的。

例如,嵌入在Daily App中的支付宝SDK已经获得了用户的手机号码。作为支付类SDK,获取移动电话号码的行为与其支付功能没有直接关系,并且行为的合法性是值得怀疑的。

国家标准《信息安全技术 个人信息安全规范》修订草案要求当个人信息管理员访问具有在其产品或服务中收集个人信息功能的第三方产品或服务时,应明确双方和个人的安全责任。通过合同实施。信息安全措施,并要求第三方获得收集个人信息的授权许可。

换句话说,SDK还需要由用户授权以收集个人信息。由于SDK不直接与用户交互,因此使用它的应用程序有义务通知用户。但是,很多应用程序都没有这样做。 SDK可能会在他们不知情的情况下收集用户的隐私。

中国银行移动银行应用程序的迅飞SDK可以“记录环境或通话”,但中国银行移动银行应用程序不提供任何隐私政策,更不用说通知用户并获得同意; TalkingData使用的友好财富应用程序和愉快的贷款贷款应用程序SDK获取了用户的地理位置,但未在隐私政策中通知用户。

此外,《报告》还列出超出规范收集的“其他信息”的[111xSDA],即除App的基本业务功能之外的个人信息。 (获取此类信息并非违法,但需要积极获取。用户同意)。

本文的规定,但按照“知情同意”的原则,《网络安全实践指南移动互联网应用基本业务功能必要信息规范》认为,即使App本身不需要信息,但需要收集SDK,App也应该弹出收集上述个人信息时收集用户同意的窗口。保护用户的知情同意权。

TalkingData,SDK之友或隐藏用户个人信息的收集

SDK实现功能需要申请相应的系统权限,但它收集的个人信息是否仅限于权限范围?

《报告》对15个主流SDK的深入分析发现,SDK的系统权限需要应用于5到14项,Aurora Data Analysis SDK和百度Map SDK应用最多。

在官方文档中提供相关信息的10个SDK中,30%可以通过代码收集超出其声明范围的个人信息。也就是说,它们可能存在以隐藏用户的个人信息的收集。

例如,TalkingData SDK仅声明它将获取地理位置信息,但其代码还包括读取第三方平台帐户信息,绑定NFC支付卡信息等;

Ping ++,AUO SDK具有获取位置信息的代码,但未在官方文档中声明。

《报告》指出仍有一些SDK会将未加密的用户个人信息甚至个人敏感信息传回服务器。

值得注意的是,这里可能存在两种未加密的情况,一种是通信信道未加密(例如http),另一种是传输内容未加密(例如使用https但不加密数据)本身)。

例如,Ping ++ SDK,TalkingData SDK,携程SDK,百度地图SDK将未加密的地理位置信息传输到服务器。

此个人信息在App开发人员,单个或多个第三方之间流动,增加了披露和滥用个人信息的风险。

南方记者发现,近年来推出的许多个人信息保护和数据安全法规和标准已明确定义了管理SDK的必要性。

规定网络运营商应明确识别访问其平台的第三方应用的数据安全要求和责任,并监督和监督第三方应用运营商,以加强数据安全管理。

《报告》修订草案要求参与自动化工具的个人信息管理员(如第三方嵌入或访问的SDK)应进行技术测试,以确保第三方个人信息的收集和使用行为符合商定的要求;对该行为进行了审计,发现访问被及时切断,超出了商定的行为。

收集报告投诉

文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收到的新闻,促销广告,甚至是短信验证码,您都可能来自第三方。

这些集成在应用程序中的第三方工具包称为SDK(软件开发工具包)。它们可以帮助应用程序有效且经济地实现地图,支付,统计,社交,广告等一系列功能,并且还能够获得大量的设备信息和用户个人信息。

但是,第三方SDK引入的安全问题也很明显。例如,开发人员的安全级别可能不均衡,这可能导致SDK中的安全漏洞;开发人员将故意保留“后门”以收集用户信息或执行未经授权的操作。

2015年10月,发现名为“Million”的第三方广告SDK收集有关用户的个人身份信息,包括手机上安装的Apple ID电子邮件地址,设备ID和应用程序列表信息。最后,从Apple App Store中删除了256个带有MK SDK的应用程序。

2017年8月,发现第三方广告SDK的“信件”具有内置后门,未经用户许可收集用户隐私数据,并获取已安装在用户设备中的所有应用列表。 SDK中嵌入的500多个应用程序已下载超过1亿次,最终已从Google Play中删除。 为了找出SDK的合规状态以获取用户的个人信息,南都个人信息保护研究中心和中国金融认证中心(CFCA)评估了60种常用应用和主流SDK,并联合发布《信息安全技术 个人信息安全规范》(下文)《常用第三方SDK收集使用个人信息测评报告》,可在文章末尾获得)。

《报告》显示在嵌入式应用程序的隐私政策或弹出窗口中未提及由Xunfei和TalkingData等SDK收集的个人信息; TalkingData和Youmeng SDK可能会隐藏他们想要收集的个人信息;携程,百度地图然后,SDK会将未加密的用户个人信息甚至个人敏感信息传回其自己的服务器。

平均而言,每个应用程序使用19.3 SDK来获得最多的IMEI号

《报告》通过反向分析,数据包捕获,功能挂钩等技术手段,在社交娱乐,休闲娱乐,生活服务,导购,旅游交通,移动金融等行业中选择了60个热门应用,分析这些应用所使用的SDK应用。收集有关用户的个人信息。

删除通常不易检测App的移动金融行业应用程序,每个应用程序使用的平均SDK数量为19.3;

根据App集成的SDK类别,消息推送类SDK最多,综合类和辅助开发类是第二类。

值得注意的是,微软SDK,腾讯开放SDK,小米推送SDK,华为SDK,支付宝SDK,Facebook SDK和Airbnb SDK都嵌入了超过一半的应用程序,全都来自互联网公司。

从广泛使用SDK的角度来看,App对SDK有很强的依赖性。 SDK安全性已成为整个移动互联网生态系统中极为重要的一部分。他们收集哪些信息,如何使用和保护它们也非常重要。

《报告》显示在检测时间内,60个应用程序使用的966个SDK中的150个已获得IMEI,IMSI和其他移动设备信息,这是所有类别中最常见的;超过35个SDK已经获得了各种网络。 IP地址,MAC地址,Wi-Fi热点信息等信息。

南都记者表示,这些信息通常用于统计分析和有针对性的推送目的。此外,还有10个SDK可以获取用户行为信息,例如锁定屏幕,安装/升级/卸载应用程序。

高级产品研发专家马钰源发表了一篇文章,揭示了SDK收集的用户信息的混乱形象,并根据危险程度将信息分为高,高,中,低四个层次。 “获取本地安装的应用程序信息”是一种“非常高”的隐私信息。

文章指出,通过收集此类信息,SDK可以清楚地了解用户的偏好。“例如,如果设备用户安装了某种类型的同朋友应用程序,则意味着这些极其隐私的信息将被泄露。”

中国银行和Pleasant Wealth App使用的SDK没有得到SDK记录和定位的通知

《报告》还发现一些SDK也获得了诸如用户的电话号码,地理位置,移动视频和相册之类的个人信息。有些是为了实现相应的功能,但有些是在未经用户许可的情况下获得的。

例如,嵌入在Daily App中的支付宝SDK已经获得了用户的手机号码。作为支付类SDK,获取移动电话号码的行为与其支付功能没有直接关系,并且行为的合法性是值得怀疑的。

国家标准《报告》修订草案要求当个人信息管理员访问具有在其产品或服务中收集个人信息功能的第三方产品或服务时,应明确双方和个人的安全责任。通过合同实施。信息安全措施,并要求第三方获得收集个人信息的授权许可。

换句话说,SDK还需要由用户授权以收集个人信息。由于SDK不直接与用户交互,因此使用它的应用程序有义务通知用户。但是,很多应用程序都没有这样做。 SDK可能会在他们不知情的情况下收集用户的隐私。

中国银行移动银行应用程序的迅飞SDK可以“记录环境或通话”,但中国银行移动银行应用程序不提供任何隐私政策,更不用说通知用户并获得同意; TalkingData使用的友好财富应用程序和愉快的贷款贷款应用程序SDK获取了用户的地理位置,但未在隐私政策中通知用户。

此外,《信息安全技术 个人信息安全规范》还列出超出规范收集的“其他信息”的[111xSDA],即除App的基本业务功能之外的个人信息。 (获取此类信息并非违法,但需要积极获取。用户同意)。

本文的规定,但按照“知情同意”的原则,《报告》认为,即使App本身不需要信息,但需要收集SDK,App也应该弹出收集上述个人信息时收集用户同意的窗口。保护用户的知情同意权。

TalkingData,SDK之友或隐藏用户个人信息的收集

SDK实现功能需要申请相应的系统权限,但它收集的个人信息是否仅限于权限范围?

《网络安全实践指南移动互联网应用基本业务功能必要信息规范》对15个主流SDK的深入分析发现,SDK的系统权限需要应用于5到14项,Aurora Data Analysis SDK和百度Map SDK应用最多。

在官方文档中提供相关信息的10个SDK中,30%可以通过代码收集超出其声明范围的个人信息。也就是说,它们可能存在以隐藏用户的个人信息的收集。

例如,TalkingData SDK仅声明它将获取地理位置信息,但其代码还包括读取第三方平台帐户信息,绑定NFC支付卡信息等;

Ping ++,AUO SDK具有获取位置信息的代码,但未在官方文档中声明。

《报告》指出仍有一些SDK会将未加密的用户个人信息甚至个人敏感信息传回服务器。

值得注意的是,这里可能存在两种未加密的情况,一种是通信信道未加密(例如http),另一种是传输内容未加密(例如使用https但不加密数据)本身)。

例如,Ping ++ SDK,TalkingData SDK,携程SDK,百度地图SDK将未加密的地理位置信息传输到服务器。

此个人信息在App开发人员,单个或多个第三方之间流动,增加了披露和滥用个人信息的风险。

南方记者发现,近年来推出的许多个人信息保护和数据安全法规和标准已明确定义了管理SDK的必要性。

规定网络运营商应明确定义访问其平台的第三方应用的数据安全要求和责任,并监督和监督第三方应用运营商,以加强数据安全管理。

《报告》修订草案要求参与自动化工具的个人信息管理员(如第三方嵌入或访问的SDK)应进行技术测试,以确保第三方个人信息的收集和使用行为符合商定的要求;对该行为进行了审计,发现访问被及时切断,超出了商定的行为。

频道热点
  1. 0816怎么说NBA?在等待半个夏天之后,卡特的粉丝们终于等待了卡特的签约消息。根据NBA着名记者沃伊的说法,卡特已同意与老鹰队签约并重返老鹰队。这可能是他职业生涯的终结。一个赛季。上个赛季
  2. 中国电子银行网2天前我想分享文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收到的新闻,促销广告,甚至是短信验证码,您都可能来自第三方。这些集成在应用程序中的第三方工具包称为S
  3. 中国电子银行网2天前我想分享文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收到的新闻,促销广告,甚至是短信验证码,您都可能来自第三方。这些集成在应用程序中的第三方工具包称为S
  4. 华龙网-路是地球的使者,凝聚了奉化的时代。从道路,到街道,到大道,到城市的中心轴线,道路是城市演变的轨迹;城市的中心轴线是最高形式的道路,最突出的城市存在,在城市中最自豪的位置,国粹的时代凝聚和凝聚
  5. 中国电子银行网2天前我想分享文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收到的新闻,促销广告,甚至是短信验证码,您都可能来自第三方。这些集成在应用程序中的第三方工具包称为S
  6. 北京,北京,8月21日(记者张苏)针对当前信息化带来的“高科技污染”,许多行业专家呼吁采取节能环保技术。记者从21世纪中科曙光的曙光中了解到,不同的技术可以用来为服务器创造可持续发展的道路。中山大学
  7. 中国电子银行网2天前我想分享文中所谓的“第三方应用程序或服务”是有形存在的。但实际上,无论是您每天收到的新闻,促销广告,甚至是短信验证码,您都可能来自第三方。这些集成在应用程序中的第三方工具包称为S
  8. 北京,北京,8月21日(记者张苏)针对当前信息化带来的“高科技污染”,许多行业专家呼吁采取节能环保技术。记者从21世纪中科曙光的曙光中了解到,不同的技术可以用来为服务器创造可持续发展的道路。中山大学
  9. 华龙网-路是地球的使者,凝聚了奉化的时代。从道路,到街道,到大道,到城市的中心轴线,道路是城市演变的轨迹;城市的中心轴线是最高形式的道路,最突出的城市存在,在城市中最自豪的位置,国粹的时代凝聚和凝聚
  10. 原名:“剧本”欺骗了300多人假产品、假名字、假电话、假客服、一个普通的“剧本”,三个月后,神奇地让300多名受害者受骗……近日,河南省罗山县检察院被告人在审理韩晓天诈骗案后提起公诉,法院以诈骗罪判
新闻排行
  1. 欢迎来到评论区的激烈讨论!喜欢留意它!谢谢你们传递帅哥!水瓶水瓶座认为单阶段思维是好的,没有必要做额外的事情。这就像是最舒服的爱情,最令人向往的是与汛期相同,汛期保持距离并慢慢靠近彼此。这种偷偷喜欢

    欢迎来到评论区的激烈讨论!喜欢留意它!谢谢你们传递帅哥!水瓶水瓶座认为单阶段思维是好的,没有必要做额外的事情。这就像是最舒服的爱情,最令人向往的是与汛期相同,汛期保持距离并慢慢靠近彼此。这种偷偷喜欢...

  2.   到目前为止,我国依旧是世界上人口最多的国家。尽管我国的领土面积排名世界第三,可人口在这么增长下去

      到目前为止,我国依旧是世界上人口最多的国家。尽管我国的领土面积排名世界第三,可人口在这么增长下去...

  3. 用公共利益解读“幸福”的价值。中骏集团董事局主席黄朝阳在2019年中国慈善名单中排名第七7月24日,福布斯?

    用公共利益解读“幸福”的价值。中骏集团董事局主席黄朝阳在2019年中国慈善名单中排名第七7月24日,福布斯?...

  4. 我想昨天分享的PolarisPowerNetwork(来源“中国光伏产业协会CPIA”)原始PPT如下:?收集报告投诉

    我想昨天分享的PolarisPowerNetwork(来源“中国光伏产业协会CPIA”)原始PPT如下:?收集报告投诉...

  5. ...

  6. 曾几何时,周涛是中央电视台女主持人的象征。她的大气,尊严,优雅和平静的形象总是等同于各种国家级别的活

    曾几何时,周涛是中央电视台女主持人的象征。她的大气,尊严,优雅和平静的形象总是等同于各种国家级别的活...

  7. ?

    ?...

  8. ?“乔家大院”的教训当所有景点都被提醒时□阅读全部在报告中,山西省蓟县乔家大院5A景区的退市引起了旅游业的震动。当地政府立即采取措施加强死者。景区已关闭十天,主要景区的商店,道路摄影和表演都被禁止。工

    ?“乔家大院”的教训当所有景点都被提醒时□阅读全部在报告中,山西省蓟县乔家大院5A景区的退市引起了旅游业的震动。当地政府立即采取措施加强死者。景区已关闭十天,主要景区的商店,道路摄影和表演都被禁止。工...

  9. 在暑假期间,总会有一群人随后会知道:“研究生入学考试还为时已晚吗?会为时已晚吗?可以录取吗?”是否决定参加研究生考试,这迟早会成为问题吗?现在为时已晚。你不接受吗?首先,你什么时候要求人们要求研究生

    在暑假期间,总会有一群人随后会知道:“研究生入学考试还为时已晚吗?会为时已晚吗?可以录取吗?”是否决定参加研究生考试,这迟早会成为问题吗?现在为时已晚。你不接受吗?首先,你什么时候要求人们要求研究生...

  10. 21:11:00清晨的天空以墓葬为主题的电影和电视剧一直引起人们的注意,恐怖和惊喜让人们想要停下来。例如,改

    21:11:00清晨的天空以墓葬为主题的电影和电视剧一直引起人们的注意,恐怖和惊喜让人们想要停下来。例如,改...

友情链接