昨晚8點(diǎn)，推遲已久的315晚會(huì)正式拉開帷幕，其中信息安全問題再次點(diǎn)名上榜。

2020年7月16日，在315晚會(huì)上曝出國美易卡、遙控器、最強(qiáng)手電、全能遙控器、91極速購、天天回收、閃到、蘿卜商城、紫金普惠等50多款手機(jī)APP存在收集上傳用戶隱私，甚至可竊取短信驗(yàn)證碼問題。然而，如此之多的App涉嫌違規(guī)收集用戶隱私的罪魁禍?zhǔn)拙褪荢DK，即在手機(jī)軟件中提供功能及服務(wù)的插件，它可以幫助App低成本地實(shí)現(xiàn)各種功能，比如，支付、廣告、推送等。

2019年11月，上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)委托第三方公司，對一些手機(jī)軟件中的SDK插件進(jìn)行專項(xiàng)測試，發(fā)現(xiàn)上海氪信信息技術(shù)有限公司和北京招彩旺旺信息技術(shù)有限公司兩家公司的SDK插件都存在“在用戶不知情的情況下竊取用戶隱私”的嫌疑，甚至連用戶的短信內(nèi)容都可以獲取，這種現(xiàn)象的存在使用戶隱私及財(cái)產(chǎn)處于極度危險(xiǎn)的狀態(tài)。

手機(jī)App的灰色地帶

其實(shí)App嵌入SDK的做法十分普遍，對于企業(yè)方面，軟件開發(fā)企業(yè)引入第三方SDK，不僅可以降低開發(fā)難度，還可以減少開發(fā)成本。對于用戶方面，則可以使用到軟件中的各種便捷服務(wù)。

隨著智能手機(jī)和信息技術(shù)的不斷發(fā)展，各類App功能不斷的完善及更新，使App運(yùn)營商在向用戶提供服務(wù)的過程中，有條件獲得更多的個(gè)人信息，從而為用戶提供最大限度的便捷。然而，這個(gè)特性是一把雙刃劍，在不斷提高了用戶的使用體驗(yàn)的同時(shí)，也給用戶的個(gè)人信息安全帶來更大隱患。其中最為隱晦的操作就是過度索取用戶個(gè)人信息。

在智能手機(jī)中，App軟件的法規(guī)條文里所謂的“第三方應(yīng)用及服務(wù)”其實(shí)是個(gè)看得見摸不著的存在，不過想獲得一些便利的功能卻離不開它，比如收到的App消息，推送的新聞，搜索相關(guān)的廣告等，出于這些原因使SDK成為了App中的灰色地帶。

這些集成在App里的第三方工具包(SDK)，幫助App實(shí)現(xiàn)一些便捷功能的同時(shí)也具備一些捕獲設(shè)備信息和用戶信息能力，比如：電話、定位、錄音等個(gè)人信息。

《新版?zhèn)€人信息安全規(guī)范》正式發(fā)布，10月1日起正式實(shí)施。其中增加了“多項(xiàng)業(yè)務(wù)功能的自主選擇”、“用戶畫像的使用限制”、“個(gè)性化展示的使用”、“基于不同業(yè)務(wù)目所收集個(gè)人信息的匯聚融合”、“第三方接入管理”、“個(gè)人信息安全工程”、“個(gè)人信息處理活動(dòng)記錄”等內(nèi)容。

在規(guī)定中，SDK收集個(gè)人信息是需要經(jīng)過用戶授權(quán)同意的。但據(jù)不完全統(tǒng)計(jì)，市面上有至少三成的SDK或隱瞞收集用戶個(gè)人信息。更有甚者，一些第三方的工具包開發(fā)者會(huì)故意預(yù)留“后門”，以便收集用戶信息或執(zhí)行越權(quán)操作。

個(gè)人信息泄露的危險(xiǎn)性

個(gè)人信息泄露的危險(xiǎn)性不言而喻。根據(jù)315晚會(huì)報(bào)道，上海氪信信息技術(shù)有限公司和北京招彩旺旺信息技術(shù)有限公司兩家違規(guī)企業(yè)的SDK中暗藏玄機(jī)，它可以在用戶不知情的情況下獲取用戶設(shè)備的IMSI，電話號碼、通訊錄、短信內(nèi)容、傳感器信息等，不僅如此，這些敏感的個(gè)人信息還會(huì)傳送到服務(wù)器儲(chǔ)存起來。

其中短信記錄泄露的嚴(yán)重性是很大的，一旦用戶有網(wǎng)絡(luò)交易的驗(yàn)證碼被獲取，極有可能造成嚴(yán)重的經(jīng)濟(jì)損失。這就好比于你的手機(jī)中暗藏著一個(gè)“竊賊”，它可能會(huì)在你還毫不知情的情況下盜走你的財(cái)產(chǎn)。

最后

如今的智能手機(jī)早已融入了我們的生活，嘶吼作為安全行業(yè)的媒體，衷心的希望手機(jī)App過度獲取用戶信息的亂象能得到有效的整治，確保個(gè)人信息安全。隨著時(shí)代的發(fā)展，數(shù)字科技的步伐還會(huì)繼續(xù)前進(jìn)，所面臨的困難也會(huì)越來越多。不過小編堅(jiān)信，在安全行業(yè)與各相關(guān)組織的共同努力下，未來的科技世界將變得更加安全可靠。