315晚会 | SDK插件藏身手机APP 涉嫌窃取用户信息

来源:财经网 2020/07/17
分享到:
导语

2020年315晚会再提手机APP违规收集个人信息问题,工信部表示将“严厉查处涉事企业”。

7月16日消息,2020年315晚会公布的一项调查显示,部分手机端应用软件(APP)内含的SDK插件存在违规收集个人信息的问题,被点名的两家SDK插件公司为北京招彩旺旺信息技术有限公司(下称“招彩旺旺”)和上海氪信技术科技有限公司(下称"氪信")。

SDK是Software Development Kit的缩写,即"软件开发工具包",一般来说,SDK可以实现安卓开发工具、广告推送、图像识别或移动支付等功能。通过SDK插件,APP开发者不再需要针对每项功能进行开发,极大缩短了产品的开发周期。

但上海市消费者协会权益保护委员会的调查发现,第三方SDK存在安全隐患,涉嫌窃取用户隐私。据报道,除了收集用户手机号码、设备信息之外,SDK插件还可能会收集用户短信记录 、通讯录、应用安装列表和传感器信息等用户隐私信息,并在采集之后发送至指定服务器进行存储。招彩旺旺开发的SDK甚至会收集并上传用户手机中带有验证码的短信。检测人员提醒,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。

由于SDK插件具有通用性,不同手机软件可能嵌入的是同一个SDK,因此,一旦某个SDK窃取用户个人隐私,将会涉及众多手机软件。据315晚会报道,前述两家公司开发的SDK插件就涉及了50余款APP,其中包含大量金融APP,包括国美易卡、美期分期、九秒贷、现金转转、够范分期、麦芽贷、栗子借款、我享贷、融小鱼、趣花呗、取点花、信用金库、秒贷钱包、蜂王贷、我闪花 、青木易贷、捷云速贷、银河闪贷、口袋钱包、小猪花、有钱用、秒贝 、来闪贷等。

截图为央视报道画面

截图为315晚会报道画面

针对315晚会指出国美易卡APP所含SDK插件存在留存用户隐私信息的问题,国美金融官方微博昨日发布声明称,已成立特别工作小组展开排查。同时,国美金融表示,报道中提到的"氪信SDK插件",已于2020年1月14日从国美易卡APP下线,目前已经全面停止与氪信的一切合作。

截图来自国美金融官方微博账号

截图来自国美金融官方微博账号

17日,氪信公开回应称,已于2019年年底前完全停用SDK技术,并表示就这一问题的影响已经成立调查小组,内部启动调查。

同日,工信部表示,“针对7月16日央视播出“3·15”晚会报道的SDK违规收集用户个人信息的问题,第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业”。

自2019年1月以来,网信办、工信部等四部门联合开展App违法违规收集使用个人信息专项治理行动,对个人金融数据安全的监管日益趋严。随着整治行动的深入,已有一大批违法违规收集用户数据的金融类App已被网信办、警方点名,重点针对违规收集个人信息、违规使用个人信息、不合理索取用户权限、为用户注销账号设置障碍四个方面的八类问题进行规范整改。

去年年底,中国互联网金融协会正式启动移动金融APP备案试点,要求银行、非银支付机构等均应在2020年内完成旗下运营的APP备案工作,目前已有包括支付宝SDK、微信、有钱花在内的近百款APP进入备案名单。

编辑: 杜晓彤
分享到:

相关新闻