戳視頻了解詳情據(jù)央視報(bào)道，上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)委托第三方對(duì)市場(chǎng)上的App進(jìn)行檢測(cè)，發(fā)現(xiàn)某些第三方開發(fā)的SDK存在違規(guī)收集用戶個(gè)人信息的情況。

惡意SDK是什么？它又是怎樣悄悄在我們的手機(jī)中讀取信息的？它會(huì)對(duì)我們的生活產(chǎn)生怎樣的危害？

惡意SDK背后作惡

SDK是Software Development Kit的縮寫，即“軟件開發(fā)工具包”。簡(jiǎn)單來說，它是輔助開發(fā)某一類應(yīng)用軟件的相關(guān)文檔、范例和工具的集合。

對(duì)App來說，為了縮短APP開發(fā)周期、提高開發(fā)效率，可以將某項(xiàng)功能交給第三方來開發(fā)，而第三方服務(wù)提供商便會(huì)將服務(wù)封裝成SDK供開發(fā)者使用。

而部分SDK包中會(huì)加入一些惡意功能，輕者違規(guī)獲取用戶信息，重者則會(huì)威脅手機(jī)隱私安全、資金賬戶安全。

如“3·15晚會(huì)”曝光的氪信SDK，嵌入到APP后會(huì)默默收集用戶數(shù)據(jù)，其中包括：聯(lián)系人、通話記錄、短信、應(yīng)用安裝列表、設(shè)備信息、位置信息等。

據(jù)央視曝光，這款SDK共涉及50余個(gè)手機(jī)APP，SDK作為手機(jī)軟件中提供某種功能或服務(wù)的插件植入到手機(jī)軟件中，安裝了這些APP的用戶，手機(jī)中的隱私信息會(huì)被不斷讀取，而在這個(gè)過程中，用戶毫不知情。

（上下滑動(dòng)查看） 

而此次晚會(huì)曝光的另一款北京招財(cái)旺旺信息技術(shù)有限公司開發(fā)的SDK，除了收集用戶手機(jī)號(hào)碼、設(shè)備信息等隱私外，甚至?xí)占⑸蟼饔脩羰謾C(jī)中的短信內(nèi)容，帶有驗(yàn)證碼的短信同樣會(huì)被上傳，在采集之后還會(huì)發(fā)送至指定服務(wù)器進(jìn)行儲(chǔ)存。

而用戶的短信驗(yàn)證碼是目前手機(jī)APP驗(yàn)證用戶身份的重要手段之一，一旦泄露，不法分子可能會(huì)利用短信驗(yàn)證碼進(jìn)行軟件登錄、支付款項(xiàng)、開通業(yè)務(wù)等行為，可能會(huì)為用戶帶來極為嚴(yán)重的金錢損失。

利用個(gè)人隱私頻頻作惡

除了央視所曝光的SDK過度讀取用戶隱私外，不法分子還利用惡意SDK為以下黑產(chǎn)事件“開路”：

1、非法控制個(gè)人手機(jī)，進(jìn)行惡意流量推廣

2018年曾曝光過的“XX推”SDK，潛在影響近2千萬用戶。

開發(fā)商在300多款應(yīng)用里安裝了該款SDK，通過后門云控開啟惡意功能，非法控制個(gè)人手機(jī)。惡意SDK可在云端動(dòng)態(tài)更新下向用戶手機(jī)發(fā)送惡意代碼包，Root用戶手機(jī)，植入惡意應(yīng)用到用戶設(shè)備系統(tǒng)目錄，進(jìn)行惡意廣告行為和應(yīng)用推廣，以實(shí)現(xiàn)牟取灰色收益。

同時(shí)，該SDK還會(huì)從服務(wù)器獲取刷量任務(wù)，通過惡意控制用戶手機(jī)的方式，在用戶無感知的情況下進(jìn)行自動(dòng)化刷量服務(wù)。在無形中，你的手機(jī)成為了惡意流量黑產(chǎn)的“幫手”。

2、成為第四方支付平臺(tái)的助推器

還有部分不法商家不斷突破紅線，將SDK用于“第四方支付平臺(tái)”，使用自己注冊(cè)和控制的支付“空殼公司”，為無收費(fèi)權(quán)限的游戲軟件、色情平臺(tái)、賭博平臺(tái)提供結(jié)算服務(wù)，給平臺(tái)帶來一定監(jiān)管風(fēng)險(xiǎn)。

3、層層隱蔽，危害用戶安全

惡意SDK擁有很強(qiáng)的隱蔽性和對(duì)抗殺毒軟件的能力，軟件一旦植入惡意SDK，再通過應(yīng)用市場(chǎng)分發(fā)到用戶手中，就會(huì)造成較大的影響。

這些惡意SDK會(huì)持續(xù)對(duì)用戶的個(gè)人隱私進(jìn)行過度讀取，甚至幫助網(wǎng)絡(luò)黑產(chǎn)“鋪路”，嚴(yán)重影響移動(dòng)互聯(lián)網(wǎng)用戶的信息安全和財(cái)產(chǎn)安全，危害合法應(yīng)用市場(chǎng)聲譽(yù)，造成惡劣的社會(huì)影響。

如果這類型的新型黑產(chǎn)手法不加以遏制，未來SDK黑產(chǎn)甚至可以控制用戶手機(jī)做更多的事情。

需要多方聯(lián)合齊努力

惡意SDK悄悄藏匿在手機(jī)軟件中，不僅讓用戶在使用過程中防不勝防，很多應(yīng)用軟件的開發(fā)者甚至都未曾了解軟件導(dǎo)致的這些安全漏洞。

而惡意SDK無度索取個(gè)人信息、違規(guī)使用手機(jī)權(quán)限、“協(xié)助”黑產(chǎn)完成非法結(jié)算等行為，亟需整改和打擊，才能保護(hù)用戶的個(gè)人信息安全和財(cái)產(chǎn)安全。

在此，守哥呼吁各界攜手，一起行動(dòng)起來，聯(lián)合打擊惡意SDK：

作為源頭的APP開發(fā)者，需要對(duì)SDK有著充分了解，從源頭上避免SDK通過APP過度索取用戶信息、為黑產(chǎn)“保駕護(hù)航”等行為。

1、APP應(yīng)用開發(fā)者：

①APP應(yīng)用開發(fā)者應(yīng)遵循合理、必要和最小化原則選擇第三方SDK。對(duì)必須使用的SDK包加大審核力度，對(duì)第三方SDK進(jìn)行全面的安全評(píng)估，特別警惕具有后臺(tái)云控功能控制代碼的SDK；

②開發(fā)者應(yīng)從自身角度履行責(zé)任，保障用戶的信息安全。在軟件開發(fā)過程中，需明確所開發(fā)APP對(duì)個(gè)人信息的采集與利用，個(gè)人信息存儲(chǔ)及保護(hù)制度，個(gè)人信息的處理制度，未成年信息保護(hù)制度等，切實(shí)保護(hù)用戶個(gè)人信息及隱私。

作為軟件分發(fā)平臺(tái)的應(yīng)用市場(chǎng)，可以直接觸達(dá)到客戶，也需要充分發(fā)揮企業(yè)責(zé)任感。

2、應(yīng)用市場(chǎng)：

①各級(jí)應(yīng)用市場(chǎng)應(yīng)加強(qiáng)管理，增強(qiáng)對(duì)惡意SDK的識(shí)別、檢測(cè)和防范能力?？蓞⒖家恍?yīng)用分發(fā)平臺(tái)采用的“惡意行為檢測(cè)”+“隱私泄露檢查”+“安全漏洞掃描”+“人工實(shí)名復(fù)檢”四重檢測(cè)體系，以多樣安全審核措施保障上架應(yīng)用的安全合規(guī)；

②應(yīng)用市場(chǎng)應(yīng)履行自身責(zé)任，在對(duì)APP進(jìn)行檢測(cè)后，對(duì)合規(guī)、安全、穩(wěn)定的APP進(jìn)行標(biāo)識(shí)，便于用戶在下載軟件過程中進(jìn)行適當(dāng)?shù)倪x擇。而對(duì)于不合規(guī)的APP，應(yīng)用市場(chǎng)應(yīng)及時(shí)進(jìn)行下架處理。

作為用戶，我們更應(yīng)該從自己做起，保護(hù)個(gè)人隱私安全。

3、用戶：

①避免在非官方應(yīng)用市場(chǎng)下載APP，不要通過掃描二維碼、點(diǎn)擊鏈接的方式下載軟件；

②下載軟件后要對(duì)其進(jìn)行權(quán)限設(shè)置，在不影響使用的情況下盡量關(guān)閉應(yīng)用內(nèi)與“隱私相關(guān)”或與“資費(fèi)相關(guān)”的權(quán)限；

③忌在非官方渠道填寫自己的銀行賬號(hào)及密碼等信息，填寫任何個(gè)人信息都要三思而后行，仔細(xì)核查平臺(tái)的合法性；

④如果遇見泄漏用戶隱私或者其他違規(guī)行為的APP，及時(shí)通過中國(guó)互聯(lián)網(wǎng)違法和不良信息舉報(bào)中心的網(wǎng)址www.12377.cn進(jìn)行舉報(bào)。

文章來源：  守護(hù)者計(jì)劃，特此鳴謝！