7月16日晚上,2020年中央广播电视总台3·15晚会曝光了一些手机应用中存在第三方SDK插件,窃取用户信息的情况。 此前在小米2019开发者大会上,中国信通院安全研究所数据安全研究部副主任陈湉曾发布演讲:SDK自身安全性不容乐观,不仅如此,如果SDK存在问题,则凡是嵌入SDK的App都存在问题。她还强调,SDK“隐蔽”收集个人信息的问题逐渐显现。
非法SDK可窃取用户隐私数据包括验证码
随着5G、物联网等技术的快速发展,数据经济正发挥越来越大的价值,特别是App涉及人们生活的方方面面。不过App在服务民生、方便用户的同时,App过度索权、超范围收集个人信息的现象大量存在。值得注意的是,除App本身收集个人信息外,绝大多数App在开发时,会嵌入第三方集成的SDK等代码,嵌入在App里面的SDK等第三方代码,也会收集个人信息。
据了解,SDK是集成在App里的第三方工具包。它们可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能。此前南都记者曾经报道,平均每款App会使用19.3个SDK。不过,有的开发者会利用SDK收集用户信息或执行越权操作。据悉,部分SDK会“偷偷”收集用户的个人信息,有的还会向自家服务器明文传输。
3·15晚会曝光,2019年11月,上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行了专门的测试,发现一些SDK暗藏玄机。技术人员检测了50多款手机软件,其中,上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件,都存在在用户不知情的情况下,偷偷窃取用户隐私的嫌疑,涉及国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件。
检测人员介绍,SDK会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息。读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。北京招彩旺旺信息技术有限公司的SDK,甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件,窃取用户更加隐私的信息。
在央视的报道中,这些非法SDK能潜藏在手机App中,窃取用户隐私数据回传至自己后台,甚至包括验证码等关键信息。检测人员说:“一些SDK插件会未经用户同意,收集用户的联系人、短信、位置、设备信息等。因为SDK能够收集用户的短信,以及应用安装信息,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。”
此前在小米2019开发者大会上,中国信通院安全研究所数据安全研究部副主任陈湉称,目前SDK自身安全性不容乐观,不仅如此,如果SDK存在问题,则凡是嵌入SDK的App都存在问题。她还强调,SDK“隐蔽”收集个人信息的问题逐渐显现。
关于“隐蔽性”,陈湉解释说,它包括两种情况,一是App知道SDK在收集信息,而用户不知道;另一方面,App和用户都不知道SDK在收集信息。针对不同的情况,对于SDK的合规问题,陈湉建议说,可根据SDK、App承担的角色进行分析。当SDK作为数据处理者时,App应告知用户SDK收集、使用了哪些信息;此外,App和SDK之间应当有委托处理的授权。
值得注意的是,陈湉强调说,目前绝大多数App的隐私政策中并未列出SDK,更不用提明示授权的操作。
如果SDK和App共同作为数据控制者(相比于处理者,控制者拥有的处理信息的权限更多)时,陈湉表示,这意味着SDK需要承担更多的合规责任。当SDK能直接接触到用户的时候,则需要满足“三方授权”的原则,即用户授权App、App到SDK的授权、用户最终授权给SDK。当SDK不能接触用户时,不仅需要App帮助完成三方授权,还需要App反馈用户的修改、查询等需求。
有关部门已开始着手整治
有关部门也开始重视这个情况。2019年3月15日,中央网信办、市场监管总局联合印发《关于开展App安全认证工作的公告》,推动建立App个人信息安全认证制度。目前,认证试点工作已经启动,首批试点对象包括15家企业的28款App。
工信部开展“电信和互联网行业提升网络数据安全保护能力专项行动”和“App侵害用户权益专项整治工作”。后者重点整治违规收集使用用户个人信息等8类问题行为,对236款App运营者下发整改通知书,公开通报56款App、下架3款App。
公安部则深入开展“净网2019”专项行动,共检测评估3.1万余款App,累计调查核查相关App违法违规线索3129条,依法整改2090款App,依法查处1121款App,集中曝光100款存在违法违规收集使用个人信息行为的App。
市场监管总局开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动,共立案查处各类侵害消费者个人信息案件1474件,查获涉案信息369万余条,罚没款1946万余元;组织执法联动4225次,开展行政约谈3536次。
相关法律法规陆续落地
2019年12月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合发布《App违法违规收集使用个人信息行为认定方法》(下称《办法》),对六类App违法违规收集使用个人信息的行为进行认定,为监督部门执法提供参考。其中,《办法》明确,“未逐一列出App委托的第三方或嵌入的第三方代码、插件”的行为被认定为未明示收集使用个人信息的目的、方式、范围。
而在今年3月19日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》,并面向社会公开征求意见。
据了解,征求意见稿是在《App违法违规收集使用个人信息自评估指南》的基础上,依据《网络安全法》等法律法规要求,参照《App违法违规收集使用个人信息行为认定方法》和相关国家标准,结合检测评估工作经验归纳总结出来的。App运营者可据此评估自身的个人信息保护水平。
征求意见稿共有六个评估点,分别为是否公开收集规则,是否明示收集使用目的、方式和范围,是否征得用户同意,是否遵循必要原则,仅收集与提供的服务直接相关的个人信息,是否未经同意向他人提供个人信息,以及是否按法律规定提供删除或更正个人信息功能,或公布投诉、举报方式等信息。
采写:南都记者 孔学劭