SDK大家应该都有所耳闻,在编程开发中的意思就是软件开发包(SDK),而在手机APP中它也是负责提供一些功能或服务的插件。在7月16日晚播出的央视315晚会上,手机APP中的一些“窃贼”插件被曝光。
据介绍,2019年11月,上海市消费者权益保护委员会委托第三方公司对一些手机APP中的SDK插件进行了专门的测试,结果发现在50多款APP中发现,上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司的SDK插件都会在用户不知情的情况下偷偷窃取用户隐私。
这些APP包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠、秒贷钱包、我闪花、小蟹钱、抱金猪、银河闪贷、捷云速贷、莫愁花、青木易贷、蜂王贷、信用金库等等,其中多款都和借贷有关。
它们会读取设备的IMEI、IMSI、运营商、电话号码、短信记录、通讯录、应用安装列表、传感器数据等信息,然后悄悄发送到指定服务器。
北京招彩旺旺的SDK甚至会在菜谱、家长帮、动态壁纸等多款APP里,窃取用户更加隐私的信息,尤其是短信内容被全部传走,一旦其中包含账户登录、网络交易等所需的验证码,极有可能造成经济损失。
检测人员指出,SDK只是一个看似普通的插件,但是因为它对所有的手机App具有通用性,很多手机App可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人隐私,将会波及众多手机App。
在此次检测中,除了内嵌SDK插件以外,检测人员还发现一些知名手机App也有收集用户隐私的现象,涉及酷音铃声、手机铃声、铃声大全等。
针对央视播出“3·15”晚会报道的SDK违规收集用户个人信息的问题,工信部表示第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业。
一是立即组织北京、上海通信管理局对涉事两家SDK企业,北京招彩旺旺信息技术有限公司和上海氪信信息技术有限公司进行核查处理。
二是立即组织第三方检测机构对曝光使用上述两家SDK的50余款APP进行技术检测,对存在问题的APP第一时间启动下架程序。
三是立即启动应用商店联动处置机制,责成阿里、腾讯、百度、华为、小米、OPPO、vivo、360等国内主要应用商店第一时间对类似问题进行“地毯式”排查,对发现问题一律第一时间予以下架,同时要求应用商店及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。
下一步,我部将采取常态化监管措施,加强移动互联网应用程序APP综合治理。集聚产业力量,推动技术手段建设,大幅提升技术检测水平。加强监督检查,加大对各类违规行为的处置和曝光力度,对未经用户同意收集使用用户个人信息等违规行为,依法予以查处,切实维护用户合法权益。
