- +1
315晚會曝光SDK竊取個人隱私信息:涉及多款金融App
移動支付網(wǎng) 作者 偉辰:7月16日,2020年315晚會再次提到手機超限違規(guī)收集個人信息情況。據(jù)央視報道,上海市消費者權益保護委員會委托第三方對市場上的App進行檢測,發(fā)現(xiàn)某些第三方開發(fā)的SDK包存在違規(guī)收集用戶個人信息的情況。
SDK是Software Development Kit的縮寫,即“軟件開發(fā)工具包”。簡單來說,它是輔助開發(fā)某一類應用軟件的相關文檔、范例和工具的集合。對App來說,可以將某項功能交給第三方來開發(fā)以縮短周期。
據(jù)移動支付網(wǎng)了解,具備強大功能的第三方SDK廣泛應用在大量App的設計開發(fā)階段,成為整個手機軟件供應鏈中不可或缺的一部分。
上海市消費者協(xié)會權益保護委員會檢測了50多款App,這些App中帶有兩家公司的SDK:上海氪信信息技術有限公司、北京招彩旺旺信息技術有限公司。而50多款App中包含大量的金融App,如:國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等等。


在上海市消費者協(xié)會權益保護委員會的調(diào)查當中,第三方SDK除了收集用戶手機號碼、設備信息之外,還會收集用戶手機通訊錄、短信信息、傳感器信息等用戶隱私信息。在采集之后還會發(fā)送至指定服務器進行存儲。
北京招彩旺旺信息技術有限公司開發(fā)的SDK甚至會收集并上傳用戶手機中的短信內(nèi)容,帶有驗證碼的短信同樣會被采集上傳。

短信驗證碼是目前手機App驗證用戶身份的重要手段,通過短信驗證碼可以完成開通業(yè)務、支付款項、修改密碼、修改綁定郵箱等敏感操作。在掌握手機號碼的前提下,可以無密碼登陸,只要有系統(tǒng)發(fā)送的驗證碼,就可以快速登陸。
短信驗證碼一旦泄露可能帶來極為嚴重的財務損失。多地警方陸續(xù)破獲使用“偽基站2.0”盜取短信驗證碼,進而通過各大銀行、網(wǎng)站、移動支付App,實現(xiàn)信息竊取、資金盜刷和網(wǎng)絡詐騙等犯罪。
去年1月,中央網(wǎng)信辦、工信部、公安部、國家市場監(jiān)督管理總局四部門聯(lián)合發(fā)布《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》,成立了App違法違規(guī)收集使用個人信息專項治理工作組。
在隨后的幾個月時間里,仿冒App、過度索權、賬戶注銷難、霸王隱私政策等問題得到了社會各界的廣泛關注。在這段時間里《App違法違規(guī)收集使用個人信息行為認定方法(征求意見稿)》、《移動互聯(lián)網(wǎng)應用基本業(yè)務功能必要信息規(guī)范》等文件相繼出爐。
在一系列文件出爐的同時,公安部、國家網(wǎng)信辦、工信部等監(jiān)管部門開始了違法違規(guī)App“點名”,2019年下半年幾乎每個月都會有一批違法違規(guī)App被曝光。
去年11月,央行下發(fā)了《關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理的通知》(237號文),并隨通知發(fā)布了《移動金融客戶端應用軟件安全管理規(guī)范》。在規(guī)范中,對移動客戶端的身份認證安全、邏輯安全、安全功能設計、密碼算法及密鑰管理、數(shù)據(jù)安全都做出了要求。
在今年2月,央行發(fā)布了《個人金融信息保護技術規(guī)范》,并在其中強調(diào),個人金融信息相關的客戶端應用軟件及應用軟件開發(fā)工具包(SDK)應符合《移動金融客戶端應用軟件安全管理規(guī)范》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》客戶端應用軟件有關安全技術要求。
本文為澎湃號作者或機構在澎湃新聞上傳并發(fā)布,僅代表該作者或機構觀點,不代表澎湃新聞的觀點或立場,澎湃新聞僅提供信息發(fā)布平臺。申請澎湃號請用電腦訪問http://renzheng.thepaper.cn。





- 報料熱線: 021-962866
- 報料郵箱: news@thepaper.cn
互聯(lián)網(wǎng)新聞信息服務許可證:31120170006
增值電信業(yè)務經(jīng)營許可證:滬B2-2017116
? 2014-2026 上海東方報業(yè)有限公司




