发现这50余款APP竟然暗藏”窃贼插件”当心了

７月１６日晚上，因疫情延期播出的２０２０央视”３１５晚会”再次提及手机超限违规收集个人信息的情况。据央视报道，上海市消费者权益保护委员会委托第三方对市场上的ＡＰＰ进行了专门的测试，发现这５０余款ＡＰＰ竟然暗藏”窃贼插件”。

报道指出，技术人员检测的５０余款ＡＰＰ，分别含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的ＳＤＫ插件，而这两个插件，都存在在用户不知情的情况下，偷偷窃取用户隐私的嫌疑，如用户的通话记录、联系人、短信内容、网络交易的验证码等。

技术检测人员表示，“该插件会读取这部设备的ＩＭＥＩ、ＩＭＳＩ、运营商信息、电话号码、短信记录　、通讯录、应用安装列表和传感器信息。”而这些ＡＰＰ里的ＳＤＫ来读取用户的隐私信息只是第一步，读取完成后，还会悄悄地将数据传送到指定的服务器存储起来。除了通讯录、电话号码这样的个人隐私，北京招彩旺旺信息技术有限公司的ＳＤＫ，甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件，窃取用户更加隐私的信息。

检测人员随即展示了手机中真实短信记录的示意图，从示意图可以清楚看到该条短信的下行号码和内容，如果未经用户同意，收集用户的联系人、短信、位置、设备信息等，一旦用户有网络交易的验证码被获取，极有可能造成严重的经济损失。

ＳＤＫ，是　Ｓｏｆｔｗａｒｅ　Ｄｅｖｅｌｏｐｍｅｎｔ　Ｋｉｔ　的缩写，即“软件开发工具包”。具备强大功能的第三方ＳＤＫ广泛应用在大量Ａｐｐ的设计开发阶段，可以帮助ＡＰＰ缩短开发周期。虽然ＳＤＫ只是一个看似普通的插件，但是因为它对所有的手机ＡＰＰ具有通用性，很多手机软件可能都嵌入了同一个ＳＤＫ，因此一旦某个ＳＤＫ窃取用户个人隐私，将会涉及众多手机软件。

值得注意的是，从去年年初四部委Ａｐｐ治理工作组公布《Ａｐｐ违法违规收集使用个人信息自评估指南》，到《Ａｐｐ违法违规收集使用个人信息行为认定方法》（征求意见稿）出台，监管与治理“规则”已逐渐明确。２０１９年１２月，工信部先后通报两批涉嫌“侵害用户权益”的Ａｐｐ名单，５６款Ａｐｐ被指出存在违规收集、使用用户个人信息等行为，部分Ａｐｐ因未能如期按照要求完成整改被依法下架。

同期，公安部组织Ａｐｐ违法采集个人信息集中整治行动，依法查处违法违规采集个人信息Ａｐｐ共计达到６８３款，并对１００款Ａｐｐ进行了下架处理。

２０２０年１月和５月，国家计算机病毒应急处理中心分别通报了２４款和２１款Ａｐｐ，其中不乏你我常用的知名Ａｐｐ因涉嫌超范围采集个人隐私信息被点名。

截至２０１９年１２月末，我国国内市场上监测到的ＡＰＰ数量为３６７万款，分发总量达９５０２亿次。然而，在对齐监管新政的过程中，中小企业大多面临着政策解读门槛高、缺乏专业合规检测团队、第三方ＳＤＫ信息不可控、产品设计流程不规范、人员流失快带来的代码高风险以及移动应用更新迭代快带来新的风险等诸多问题。本次３１５晚会曝光的５０余款隐私不合规ＡＰＰ正是由于使用了第三方不可控ＳＤＫ造成的。

对此，百度基于内部大量实践经验打造了“史宾格安全及隐私合规平台”，为ＡＰＰ开发者和运营者带来了一站式的解决方案。在隐私政策文本检测、ＡＰＰ收集使用个人信息行为检测、ＡＰＰ用户权利保障等方面，为ＡＰＰ开发者和运营者提供全面、准确和快捷的隐私合规检测支持，可实现检测能力与监管要求的一致性，实现对最新政策要求的全面覆盖和规则对齐。

同时，面向创业者和中小企业，百度安全还上线了个人信息保护扶持计划，并专门推出了史宾格安全及隐私合规平台免费扶持版，免费扶持版提供的服务包括隐私风险项检测、隐私专项检测、权限过度收集与使用情况检测等产品服务。基于市场上最全的第三方ＳＤＫ隐私检测能力和特征库，对于集成了三方ＳＤＫ的ＡＰＰ而言，免费扶持版也可实现自动化检测，轻松解决第三方ＳＤＫ的权限使用不可控的难题。

针对此次　“３１５晚会”重点通报的招财ＳＤＫ、氪信ＳＤＫ，史宾格安全及隐私合规平台免费扶持版检测能力可完全覆盖，并协助开发者、企业快速高效完成ＡＰＰ自查工作。

文章来源：百度安全