(网经社讯)7月17日,工业和信息化部发文要求严厉查处“315晚会”曝光的信息通信领域违规行为。
第一,立即组织北京市、上海市通信管理局对涉事两家SDK企业,进行核查处理;
第二,立即组织第三方检测机构对曝光使用上述两家SDK的50余款App进行技术检测,对存在问题的App第一时间启动下架程序;
第三,立即启动应用商店联动处置机制,责成国内主要应用商店,第一时间对类似问题进行“地毯式”排查,对发现问题一律第一时间予以下架,同时要求应用商店及时通知App运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。
SDK是SoftwareDevelopment Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说,可以将某项功能交给第三方来开发以缩短周期。
据移动支付网了解,具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段,成为整个手机软件供应链中不可或缺的一部分。
近年来,App个人信息违规采集问题频现,企业往往将App个人信息安全问题聚焦在自身代码的开发层面,很容易忽视App中集成的第三方SDK安全问题,殊不知正是这些提供便利的第三方SDK正在背后插刀。
由于同一款SDK有可能会同时存在于不同款App当中,用户一款手机有可能同时被同一款SDK通过不同App收集用户数据。这样第三方SDK可以获取大批量不同App的用户数据。
第三方SDK可以通过挖掘用户数据形成种种工具,如通过App的安装情况以及获取的用户定位,绘制出热力图帮助线下店铺选址;通过设备指纹信息算法信息,帮助App进行智能获客、智能营销。
以上是第三方SDK将流量变现的主要方式,属于比较克制的利用。有安全公司指出,部分SDK会采用Android操作系统的热更新机制,在集成环节伪装成正常SDK,逃避集成方的检查,而在应用发布后运行在用户手机时,通过热更新机制从SDK的服务端动态加载恶意代码。
恶意SDK有可能发动恶意的攻击行为,例如在用户毫无察觉的情况下打开相机拍照,通过发送短信盗取双因素认证令牌,或将设备变成僵尸网络的一部分。
2018年4月,腾讯安全反诈骗实验室的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。300多款知名应用遭遇“寄生推”的病毒感染,其中不乏用户超过千万的巨量级软件,潜在影响用户超2000万。
根据《网络安全法》第四十三条、第四十四条规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。
《网络安全法》第六十九条规定,违反四十三条、第四十四条,可处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。
7月16日,“315晚会”再次曝光手机超限违规收集个人信息情况。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。
上海市消费者协会权益保护委员会检测了50多款App,这些App中带有两家公司的SDK:上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司。而50多款App中包含大量的金融App,如:国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等等。
工信部发文之前,被“315晚会”点名的上海氪信信息技术有限公司发布声明,称经过上海氪信的内部评估,认为SDK技术有被滥用的风险。因此,在2019年年底前,上海氪信就已完全停用SDK技术。
据移动支付网了解,上海氪信成立于2015年12月,是一家大数据AI平台,已经完成D轮融资。天眼查股东信息显示,该公司的股东中包括了真格基金、深圳市招商局创新投资基金中心(有限合伙)、上海火山石一期股权投资合伙企业(有限合伙)等,2019年10月,浦发银行上海信托旗下的金融科技基金亦入股上海氪信。
公开资料显示,发展至今,上海氪信已成为工商银行、建设银行、交通银行、招商银行、浦发银行等国内领先金融机构AI升级的重要合作伙伴。