315晚会曝光 | 暗藏在手机中的“窃贼”

昨晚8点，推迟已久的315晚会正式拉开帷幕，其中信息安全问题再次点名上榜。

2020年7月16日，在315晚会上曝出国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机APP存在收集上传用户隐私，甚至可窃取短信验证码问题。然而，如此之多的App涉嫌违规收集用户隐私的罪魁祸首就是SDK，即在手机软件中提供功能及服务的插件，它可以帮助App低成本地实现各种功能，比如，支付、广告、推送等。

2019年11月，上海市消费者权益保护委员会委托第三方公司，对一些手机软件中的SDK插件进行专项测试，发现上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件都存在“在用户不知情的情况下窃取用户隐私”的嫌疑，甚至连用户的短信内容都可以获取，这种现象的存在使用户隐私及财产处于极度危险的状态。

手机App的灰色地带

其实App嵌入SDK的做法十分普遍，对于企业方面，软件开发企业引入第三方SDK，不仅可以降低开发难度，还可以减少开发成本。对于用户方面，则可以使用到软件中的各种便捷服务。

随着智能手机和信息技术的不断发展，各类App功能不断的完善及更新，使App运营商在向用户提供服务的过程中，有条件获得更多的个人信息，从而为用户提供最大限度的便捷。然而，这个特性是一把双刃剑，在不断提高了用户的使用体验的同时，也给用户的个人信息安全带来更大隐患。其中最为隐晦的操作就是过度索取用户个人信息。

在智能手机中，App软件的法规条文里所谓的“第三方应用及服务”其实是个看得见摸不着的存在，不过想获得一些便利的功能却离不开它，比如收到的App消息，推送的新闻，搜索相关的广告等，出于这些原因使SDK成为了App中的灰色地带。

这些集成在App里的第三方工具包（SDK），帮助App实现一些便捷功能的同时也具备一些捕获设备信息和用户信息能力，比如：电话、定位、录音等个人信息。

《新版个人信息安全规范》正式发布，10月1日起正式实施。其中增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等内容。

在规定中，SDK收集个人信息是需要经过用户授权同意的。但据不完全统计，市面上有至少三成的SDK或隐瞒收集用户个人信息。更有甚者，一些第三方的工具包开发者会故意预留“后门”，以便收集用户信息或执行越权操作。

个人信息泄露的危险性

个人信息泄露的危险性不言而喻。根据315晚会报道，上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家违规企业的SDK中暗藏玄机，它可以在用户不知情的情况下获取用户设备的IMSI，电话号码、通讯录、短信内容、传感器信息等，不仅如此，这些敏感的个人信息还会传送到服务器储存起来。

其中短信记录泄露的严重性是很大的，一旦用户有网络交易的验证码被获取，极有可能造成严重的经济损失。这就好比于你的手机中暗藏着一个“窃贼”，它可能会在你还毫不知情的情况下盗走你的财产。

最后

如今的智能手机早已融入了我们的生活，嘶吼作为安全行业的媒体，衷心的希望手机App过度获取用户信息的乱象能得到有效的整治，确保个人信息安全。随着时代的发展，数字科技的步伐还会继续前进，所面临的困难也会越来越多。不过小编坚信，在安全行业与各相关组织的共同努力下，未来的科技世界将变得更加安全可靠。