原標題：央視曝光的手機SDK是怎麼竊取你的隱私的？ 來源：新京報

7月16日晚，央視3•15晚會曝光了手機軟件插件（SDK）在用戶不知情的情況下竊取用戶電話號碼、通訊錄、短信等隱私信息。對此，工信部回應稱，立即組織北京、上海通信管理局對涉事兩家SDK企業，北京招彩旺旺信息技術有限公司和上海氪信信息技術有限公司進行覈查處理。立即組織第三方檢測機構對曝光使用上述兩家SDK的50餘款APP進行技術檢測，對存在問題的APP第一時間啓動下架程序。

新京報貝殼財經記者發現，SDK竊取用戶隱私的現象並非首次，由於開發團隊人員衆多及歷史版本迭代多等原因，目前許多APP開發者並不清楚自己的APP中到底集成了多少第三方SDK，但一旦某一款SDK出現了問題，那麼它所嵌入的所有APP都會面臨風險。

“近年來，APP個人信息違規採集問題頻現，企業往往將APP個人信息安全問題聚焦在自身代碼的開發層面，很容易忽視APP中集成的第三方SDK安全問題，殊不知正是這些提供便利的第三方SDK正在背後插刀。”梆梆安全資深安全專家譚陽對貝殼財經記者表示。

SDK插件公司回應：已停用技術

專家：如果SDK有問題，凡是嵌入SDK的APP都存在問題

貝殼財經記者瞭解到，SDK即第三方開發工具包，它們可以幫助APP高效率、低成本地實現地圖、支付、統計、社交、廣告等一系列功能，同時自身也具備獲取相當一部分設備信息和用戶個人信息的能力。一款APP內通常可以包含多個SDK。

3•15晚會上，檢測人員表示，上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司的SDK插件有在用戶不知情的情況下，偷偷竊取用戶隱私的嫌疑，“它會讀取這部設備的IMEI、IMSI、運營商信息、電話號碼、短信記錄、通訊錄、應用安裝列表和傳感器信息，讀取完成後，還會悄悄地將數據傳送到指定的服務器存儲起來。”

工商信息顯示，此次3•15晚會報道點名的北京招彩旺旺信息技術有限公司屬於軟件和信息技術服務業，成立於2016年3月10日，經營範圍包括計算機系統服務、基礎軟件服務、應用軟件服務、技術開發等。上海氪信信息技術有限公司是一家大數據風控解決方案服務商，成立於2015年12月30日。其經營範圍包括爲金融機構提供企業級的風控系統和一站式信用服務、驅動大數據智能化的信貸風險決策等。

7月17日，上海氪信針對該事件作出回應稱，3•15 晚會關於手機APP利用SDK 技術造成用戶隱私可能被留存的風險，氪信科技高度重視，就這一問題的影響已經成立調查小組，內部啓動調查。此外，聲明中提到，因內部評估SDK技術有被濫用的風險，在2019年年底前，氪信科技就已完全停用該技術。

3•15晚會曝光，有50多款APP使用了涉事SDK插件。對於SDK偷取數據與APP的關係，中國信通院安全研究所數據安全研究部副主任陳湉曾在2019年舉辦的物聯網安全峯會中公開表示，如果SDK存在問題，則凡是嵌入SDK的APP都存在問題；此外，SDK“隱蔽”收集個人信息的問題逐漸顯現，它包括兩種情況，一是APP知道SDK在收集信息，而用戶不知道；另一方面，APP和用戶都不知道SDK在收集信息。

截至目前，已有多家APP對此進行了回應。如國美金融7月16日晚回應稱，國美易卡高度重視，第一時間已成立特別工作小組，對此事已經展開迅速排查，現將排查結果向廣大公衆通報，報道中提到的“氪信SDK插件”，已於2020年1月14日從國美易卡APP下線。目前已經全面停止與氪信一切合作。浦發銀行7月17日回應稱，未在手機銀行APP使用氪信SDK插件，集團子公司上海信託作爲氪信科技的財務投資人之一，正在瞭解相關情況。

SDK如何竊取了你的隱私信息？

企業容易忽視第三方SDK安全問題

那麼，SDK是怎麼竊取用戶信息的？

7月17日，梆梆安全資深安全專家譚陽對貝殼財經記者表示，部分SDK會採用Android操作系統的熱更新機制，在集成環節僞裝成正常SDK，逃避集成方的檢查，而在應用發佈後運行在用戶手機時，通過熱更新機制從SDK的服務端動態加載惡意代碼，竊取用戶的隱私數據。

譚陽稱，由於Android熱更新機制在使用層面不存在好壞之分，部分第三方SDK由於版本更新頻繁，或存在一些後門開關，在集成環節並不觸發惡意代碼的下發，而是在用戶安裝在手機中之後悄悄進行熱更新，在熱更新過程中植入惡意代碼。

據梆梆安全全球應用監管平臺統計分析，目前幾乎所有APP均不同程度集成了第三方SDK，平均每個APP集成的第三方SDK在15個以上，而這些第三方SDK在集成環節大多未經查驗，很容易導致惡意代碼隨APP發佈而最終運行在用戶手機上。

“近年來，APP個人信息違規採集問題頻現，企業往往將APP個人信息安全問題聚焦在自身代碼的開發層面，很容易忽視APP中集成的第三方SDK安全問題，殊不知正是這些提供便利的第三方SDK正在背後插刀。爲此，各監管部門出臺了相應的法律法規指導，並開展了APP專項治理行動。”譚陽表示。

如何防止被SDK竊取信息？

用戶在APP索取權限時要細心留意，APP也應明示提醒

對於SDK竊取用戶信息的行爲，APP專項治理工作組有關專家解讀稱，APP和APP中嵌入代碼的第三方收集使用個人信息，都需要採取適當方式通知用戶。“我們曾使用檢測工具檢測到一款APP中嵌入了54個SDK，這麼多SDK有沒有個人信息泄露的風險，這些都要提。目前有一些APP在整改後就做得很到位，有些專門列出了SDK的列表，甚至把第三方共享的接收方都列出來了，如果把明示工作做到這個程度，相信用戶也會對APP的信任度有很大的提升。

根據《APP違法違規收集使用個人信息行爲認定方法》，APP若未逐一列出有關收集使用規則，或者內容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業術語等，仍然會被認爲是“私自收集信息”。

這意味着，APP若在隱私保護協議中簡明扼要的寫明其集成了哪些SDK，就可以增加用戶對APP內置SDK的信任。

有關專家表示，SDK竊取信息的前提也需要用戶開啓相應權限，因此用戶應當在APP索取權限時細心留意，此外APP也應對SDK索取權限的目的、可能產生的風險等對用戶進行明示提醒。

事實上，工信部一直在持續對APP以及APP內置的SDK進行檢測以及推進改進，如人人視頻4.3.3/4.3.4版曾在2019年被工信部通報存在私自收集個人信息、私自共享給第三方、過度索權問題。7月5日，貝殼財經記者下載了人人視頻4.8.4版後發現，其在隱私政策中列出了收集個人信息的詳細用途，並列出了所有第三方公司的SDK名單，公佈了使用目的，同時除了基本設備權限外僅彈窗提示索取了地理位置信息（但用戶可選擇拒絕），完成了整改。

新京報貝殼財經記者 羅亦丹 編輯 李薇佳 校對 李世輝

責任編輯：劉萬里 SF014