3·15晚會曝光手機裏的竊賊插件：你的短信可被全部傳走，包括網絡交易驗證碼！這些App趕緊卸載

3·15晚會曝光丨曝光手機裏的竊賊插件：你的短信可被全部傳走，包括網絡交易驗證碼！這些App趕緊卸載

SDK，是在手機軟件中，提供某種功能或服務的插件。2019年11月，上海市消費者權益保護委員會委託第三方公司對一些手機軟件中的SDK插件進行了專門測試，卻發現一些SDK暗藏玄機。

上海市消費者權益保護委員會 副主任兼祕書長  陶愛蓮：測試當中，我們發現SDK插件存在沒有經過用戶的許可，竊取消費者手機當中的一些內容，比如說像短信。

依據《信息安全技術 移動互聯網應用（App）收集個人信息基本規範》《App違法違規收集使用個人信息行爲認定方法》等相關規定，技術人員檢測了50多款手機軟件，這些軟件中分別含有上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家公司的SDK插件，這兩個插件，都存在在用戶不知情的情況下，偷偷竊取用戶隱私的嫌疑，涉及國美易卡、遙控器、最強手電、全能遙控器、91極速購、天天回收、閃到、蘿蔔商城、紫金普惠等50多款手機軟件。

檢測人員：它會讀取這部設備的IMEI、IMSI、運營商信息、電話號碼、短信記錄、通訊錄、應用安裝列表、傳感器信息，這些都屬於用戶隱私的東西。

這些App裏的SDK讀取用戶的隱私信息只是第一步，讀取完成後，還會悄悄地將數據傳送到指定的服務器存儲起來。除了電話號碼、通訊錄這樣的個人隱私，北京招彩旺旺信息技術有限公司的SDK，甚至涉嫌通過菜譜、家長幫、動態壁紙等多款軟件，竊取用戶更加隱私的信息。

檢測人員：會未經用戶同意，收集用戶的聯繫人、短信、位置、設備信息等等。尤其短信，短信內容被全部傳走，這個是很嚴重的。手機中存在真實的短信記錄，它的下行號碼、短信內容，都可以很清晰地看到。”

“您好我是陳思”“驗證碼爲903474，請勿告知他人”等等，用戶如此重要而私密的信息就這樣被傳送到第三方服務器，檢測人員介紹，因爲SDK能夠收集用戶的短信，以及應用安裝信息，一旦用戶有網絡交易的驗證碼被獲取，極有可能造成嚴重的經濟損失。
此外，雖然SDK只是一個看似普通的插件，但是因爲它對所有的手機App具有通用性，很多手機軟件可能都嵌入了同一個SDK，因此一旦某個SDK竊取用戶個人隱私，將會涉及衆多手機軟件。

檢測人員：這些SDK會分別嵌在不同的App中，這樣涉及的量就比較大了。

在此次檢測當中除了內嵌SDK插件以外，工作人員還發現一些知名手機App也有收集用戶隱私的現象，涉及酷音鈴聲、手機鈴聲、鈴聲大全等多款軟件。

點擊可查看進入直播間

責任編輯：梁斌 SF055