当前位置:100EC>数字金融>金融App注意!工信部发文整治SDK乱象 进行“地毯式”排查
金融App注意!工信部发文整治SDK乱象 进行“地毯式”排查
伟辰移动支付网发布时间:2020年07月20日 09:16:01

(网经社讯)7月17日,工业和信息化部发文要求严厉查处“315晚会”曝光的信息通信领域违规行为。

第一,立即组织北京市、上海市通信管理局对涉事两家SDK企业,进行核查处理;

第二,立即组织第三方检测机构对曝光使用上述两家SDK的50余款App进行技术检测,对存在问题的App第一时间启动下架程序;

第三,立即启动应用商店联动处置机制,责成国内主要应用商店,第一时间对类似问题进行“地毯式”排查,对发现问题一律第一时间予以下架,同时要求应用商店及时通知App运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。

SDK是SoftwareDevelopment Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说,可以将某项功能交给第三方来开发以缩短周期。

据移动支付网了解,具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段,成为整个手机软件供应链中不可或缺的一部分。

近年来,App个人信息违规采集问题频现,企业往往将App个人信息安全问题聚焦在自身代码的开发层面,很容易忽视App中集成的第三方SDK安全问题,殊不知正是这些提供便利的第三方SDK正在背后插刀。

由于同一款SDK有可能会同时存在于不同款App当中,用户一款手机有可能同时被同一款SDK通过不同App收集用户数据。这样第三方SDK可以获取大批量不同App的用户数据。

第三方SDK可以通过挖掘用户数据形成种种工具,如通过App的安装情况以及获取的用户定位,绘制出热力图帮助线下店铺选址;通过设备指纹信息算法信息,帮助App进行智能获客、智能营销。

以上是第三方SDK将流量变现的主要方式,属于比较克制的利用。有安全公司指出,部分SDK会采用Android操作系统的热更新机制,在集成环节伪装成正常SDK,逃避集成方的检查,而在应用发布后运行在用户手机时,通过热更新机制从SDK的服务端动态加载恶意代码。

恶意SDK有可能发动恶意的攻击行为,例如在用户毫无察觉的情况下打开相机拍照,通过发送短信盗取双因素认证令牌,或将设备变成僵尸网络的一部分。

2018年4月,腾讯安全反诈骗实验室的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。300多款知名应用遭遇“寄生推”的病毒感染,其中不乏用户超过千万的巨量级软件,潜在影响用户超2000万。

根据《网络安全法》第四十三条、第四十四条规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。

《网络安全法》第六十九条规定,违反四十三条、第四十四条,可处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。

7月16日,“315晚会”再次曝光手机超限违规收集个人信息情况。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。

上海市消费者协会权益保护委员会检测了50多款App,这些App中带有两家公司的SDK:上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司。而50多款App中包含大量的金融App,如:国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等等。

工信部发文之前,被“315晚会”点名的上海氪信信息技术有限公司发布声明,称经过上海氪信的内部评估,认为SDK技术有被滥用的风险。因此,在2019年年底前,上海氪信就已完全停用SDK技术。

据移动支付网了解,上海氪信成立于2015年12月,是一家大数据AI平台,已经完成D轮融资。天眼查股东信息显示,该公司的股东中包括了真格基金、深圳市招商局创新投资基金中心(有限合伙)、上海火山石一期股权投资合伙企业(有限合伙)等,2019年10月,浦发银行上海信托旗下的金融科技基金亦入股上海氪信。

公开资料显示,发展至今,上海氪信已成为工商银行、建设银行、交通银行、招商银行、浦发银行等国内领先金融机构AI升级的重要合作伙伴。



浙江网经社信息科技公司拥有17年历史,作为中国领先的数字经济新媒体、服务商,提供“媒体+智库”、“会员+孵化”服务;(1)面向电商平台、头部服务商等PR条线提供媒体传播服务;(2)面向各类企事业单位、政府部门、培训机构、电商平台等提供智库服务;(3)面向各类电商渠道方、品牌方、商家、供应链公司等提供“千电万商”生态圈服务;(4)面向各类初创公司提供创业孵化器服务。

网经社“电数宝”电商大数据库(DATA.100EC.CN,免费注册体验全库)基于电商行业17年沉淀,包含100+上市公司、新三板公司数据,150+独角兽、200+千里马公司数据,4000+起投融资数据以及10万+互联网APP数据,全面覆盖“头部+腰部+长尾”电商,旨在通过数据可视化形式帮助了解电商行业,挖掘行业市场潜力,助力企业决策,做电商人研究、决策的“好参谋”。

【关键词】 金融AppSDK工信部
【投诉曝光】 更多>

【版权声明】秉承互联网开放、包容的精神,网经社欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源网经社;同时,我们倡导尊重与保护知识产权,如发现本站文章存在版权问题,烦请将版权疑问、授权证明、版权证明、联系方式等,发邮件至NEWS@netsun.com,我们将第一时间核实、处理。

        平台名称
        平台回复率
        回复时效性
        用户满意度
        微信公众号
        微信二维码 打开微信“扫一扫”
        微信小程序
        小程序二维码 打开微信“扫一扫”