安卓应用市场乱象调查:SDK竟能偷走银行账号密码
当前位置: 首页 > 市场 > 正文

安卓应用市场乱象调查:SDK竟能偷走银行账号密码

时间:2018-01-08 01:14:00 来源:本站 作者:

  SDK作为第三方工具往往藏在多个APP里,下载超过1亿次,不公开数据也偷

  你大概知道自己的手机里装了多少个APP,你也知道APP在收集你的个人隐私数据。但你或许不知道,除此之外,你的数据还可能同时被隐藏在APP里的第三方SDK收集。

  SDK是SoftwareDevelopmentKit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对APP来说,可以将某项功能交给第三方来开发以缩短周期。

  8月,中国一款嵌入到500多个APP中的广告软件SDK被曝未经允许盗取用户数据,主要是呼叫日志,并将数据发送到公司服务器上。截至目前,这些APP在安卓生态系统中的下载量已经超过1亿次。此前,苹果商城也曾因为256个APP使用的SDK违规收集用户信息,将这些APP全部下架。

  南都记者了解到,几乎所有APP都会使用SDK,而SDK收集用户信息的行为非常普遍。这意味着,你授权APP收集的个人信息被第三方获取了,而你很可能却对此毫不知情。

  APP通常会使用第三方SDK快速实现支付、验证、统计等功能,相比自行开发耗费的资源,直接使用SDK性价比更高。此外,SDK还扮演着可信第三方的角色,把监测到的APP流量数据提供给投资人,作为考量APP价值的重要依据。

  如此一来,SDK就不可避免地接触到APP的用户数据,这也催生了SDK提供商的一个重要服务内容:精准投放。

  众所周知,精准推送服务是APP获取用户和留住用户的常用行为。据南都记者了解,APP本身收集的用户数据有限,而SDK可以通过与多家APP开发公司合作获取大量用户数据,而这些数据不但可以实现用户画像,还能用来精准投放广告,这正是一个APP梦寐以求的。此时,在APP开发公司和SDK提供商之间,又增加了一层合作关系。

  SDK收集的用户信息可以详细到什么程度?北京网贷协会数据安全专家韩洪慧曾在采访中提到,“SDK一旦嵌入,如果你注册登录了这个APP,并默认授权,所有的行为数据都能记录,它会在不知不觉中爬取手机通讯详单、聊天记录、银行账号的密码口令、短信、通讯录、行动范围、位置信息等。”

  “SDK比爬虫读取的数据更全,不公开数据和公开数据都可用SDK收集,但造成的结果就是数据常常会被滥采或滥用。”韩洪慧说。

  高级产品研发专家马巍源曾在一篇名为《聊聊SDK采集数据的秘密》的文章里,揭露过移动互联网行业SDK采集用户隐私乱象,并将它们按照危险级别分类。其中危险级别“高”及以上的包括采集设备上安装的所有APP列表、采集正在运行或最近运行的APP信息、采集用户的账户信息。

  “这类用户信息的采集可以说比较无底线”,文章指出,通过采集前两类信息可以清楚了解用户设备中安装的各类APP信息、日启动次数及时长等,由此得知设备用户的喜好;若数据量庞大,还可推算出每款APP应用的市场占有率、各类竞品APP的情况,在用户不知情的情况下“侵犯了用户隐私”。

  而安全危险级别同样“极高”的采集用户移动设备账户信息,可以获取用户账户列表,将移动设备信息与用户账号关联,对设备进行唯一标识。“采集如此数据带来的风险也显而易见,若用户账号被泄露、被克隆,那对于用户产生的损失可能是利益上的、更甚是生命上的”,文章强调,“此类数据的采集对用户隐私侵害极大。”

  如果APP不想被第三方SDK“私货”影响,文章提出了两种解决方法:一是要求第三方修改SDK,二是换一家“干净的”。

  对用户来说,APP作为网络产品提供者,是个人信息保护的直接责任方,应该遵守《中华人民共和国网络安全法》(下称“网安法”)里的对应条款。

  网安法第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;第四十二条规定,未经被收集者同意,网络运营者不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外。也就是说,APP如果想要和第三方共享用户的个人信息,必须事先取得用户的明示同意。

  显然,SDK属于这里所说的“第三方”。但事实是,用户往往并不知道自己的个人信息在何时、以何种方式被共享给了SDK。这是因为,“隐私政策”作为APP和用户之间关于如何处理和保护用户个人信息的载体,对与第三方共享用户个人信息的表述极为模糊。

  “隐私政策”的内容通常包括APP如何收集、使用、共享、保护用户个人信息,用户同意之后才能使用APP。在隐私政策关于共享的相关表述中,最常见的是“可能会将用户的个人信息分享给第三方”。但是,几乎没有APP会在隐私政策中详细列举所谓的“第三方”究竟包括哪些。

  这对用户来说当然不公平,但从APP的角度来说,他们也有自己的顾虑。北京玺泽律师事务所高级合伙人刘新焱对南都记者表示,由于APP开发公司可能和多家SDK提供商合作,而且未来和谁合作也不确定,所以才不把SDK提供商的名字写入自己的隐私协议。不过他强调,即便如此,APP还是不能推卸对用户的告知义务。

  除了跟用户签署协议,有些APP和SDK之间也会签署协议,约定用户数据的采集范围和使用方式。某新媒体公司工程师XP告诉南都记者,协议里会写明SDK可以获取什么数据、数据的披露方式等,从而保障用户信息安全。但多名技术专家对此表示,由于SDK代码不开源,APP要监测它是否严格按约定收集数据有一定技术门槛,所以基本只能依靠协议约束。

  能收集详细的用户隐私数据,又处于监管的灰色地带,甚至使用它的APP也无法从技术上保证100%安全。SDK对用户来说,犹如一颗隐藏在暗处的“定时炸弹”,危险性不言而喻。

  南都记者梳理发现,SDK提供商泄露和滥用用户信息的事件很多,有的甚至成为了黑灰产的源头。但对用户来说,没法直接了解SDK收集个人信息的方式,只能信任APP。

  北京大学互联网发展研究中心专家研究员洪延青认为,如果SDK只是纯粹辅助APP分析用户数据,所有法律责任应由APP承担;如果SDK把收集到的APP用户信息用作其他用途,比如买卖、交换,APP和SDK就处于共同数据处理者的位置。由于SDK无法起到告知作用,APP必须详细告知用户这一行为,否则APP依然将承担所有法律责任。

  中国信息安全研究院副院长左晓栋也告诉南都记者,目前对SDK没有监管,也缺乏监管依据,因为无论SDK的功能是什么,被使用后都会成为APP的一部分,“APP开发商要为其行为负责,不能以‘第三方’为理由搪塞”。“打个比方,对车主来说,如果发动机有问题,他不会关心发动机厂商是谁,只会找整车厂商,这是同一个道理”,左晓栋说。

  因此,中国互联网协会研究中心秘书长、北京师范大学法学院教授吴沈括建议,应用商店和APP应当积极履行主体责任,确保用户安全利益。刘新焱则从法律义务的角度提出,APP应当自行与第三方签订协议和做些必要的技术检测,如果SDK等第三方造成了数据泄露,APP也应当承担相应的法律责任。

  值得庆幸的是,南都记者发现,目前应用商店对APP的审核越来越严格,一旦发现不合规,会立即下架。这也促使APP选择正规的SDK提供商,合规地获取数据,在一定程度上也对SDK起到了规范效果。

  SDK是SoftwareDevelopmentKit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对APP来说,可以将某项功能交给第三方来开发以缩短周期。

    640x60ad
    评论框