新浪财经 消费

安卓应用市场乱象调查:SDK竟能偷走银行账号密码

新浪综合

关注

安卓应用市场乱象调查2:

SDK偷走更多数据 包括银行账号密码

SDK作为第三方工具往往藏在多个APP里,下载超过1亿次,不公开数据也偷

来源:南方都市报

作者:蒋琳

你大概知道自己的手机里装了多少个APP,你也知道APP在收集你的个人隐私数据。但你或许不知道,除此之外,你的数据还可能同时被隐藏在APP里的第三方SDK收集。

SDK是Software Development Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对APP来说,可以将某项功能交给第三方来开发以缩短周期。

8月,中国一款嵌入到500多个APP中的广告软件SDK被曝未经允许盗取用户数据,主要是呼叫日志,并将数据发送到公司服务器上。截至目前,这些APP在安卓生态系统中的下载量已经超过1亿次。此前,苹果商城也曾因为256个APP使用的SDK违规收集用户信息,将这些APP全部下架。

南都记者了解到,几乎所有APP都会使用SDK,而SDK收集用户信息的行为非常普遍。这意味着,你授权APP收集的个人信息被第三方获取了,而你很可能却对此毫不知情。

APP实现

精准投放的“好帮手”

APP通常会使用第三方SD K快速实现支付、验证、统计等功能,相比自行开发耗费的资源,直接使用SDK性价比更高。此外,SDK还扮演着可信第三方的角色,把监测到的APP流量数据提供给投资人,作为考量APP价值的重要依据。

如此一来,SDK就不可避免地接触到A PP的用户数据,这也催生了SDK提供商的一个重要服务内容:精准投放。

众所周知,精准推送服务是APP获取用户和留住用户的常用行为。据南都记者了解,APP本身收集的用户数据有限,而SDK可以通过与多家APP开发公司合作获取大量用户数据,而这些数据不但可以实现用户画像,还能用来精准投放广告,这正是一个APP梦寐以求的。此时,在APP开发公司和SDK提供商之间,又增加了一层合作关系。

SDK收集的用户信息可以详细到什么程度?北京网贷协会数据安全专家韩洪慧曾在采访中提到,“SDK一旦嵌入,如果你注册登录了这个APP,并默认授权,所有的行为数据都能记录,它会在不知不觉中爬取手机通讯详单、聊天记录、银行账号的密码口令、短信、通讯录、行动范围、位置信息等。”

“SDK比爬虫读取的数据更全,不公开数据和公开数据都可用SD K收集,但造成的结果就是数据常常会被滥采或滥用。”韩洪慧说。

采集的信息

“无底线”、“侵犯隐私”

高级产品研发专家马巍源曾在一篇名为《聊聊SD K采集数据的秘密》的文章里,揭露过移动互联网行业SD K采集用户隐私乱象,并将它们按照危险级别分类。其中危险级别“高”及以上的包括采集设备上安装的所有APP列表、采集正在运行或最近运行的APP信息、采集用户的账户信息。

“这类用户信息的采集可以说比较无底线”,文章指出,通过采集前两类信息可以清楚了解用户设备中安装的各类APP信息、日启动次数及时长等,由此得知设备用户的喜好;若数据量庞大,还可推算出每款APP应用的市场占有率、各类竞品APP的情况,在用户不知情的情况下“侵犯了用户隐私”。

而安全危险级别同样“极高”的采集用户移动设备账户信息,可以获取用户账户列表,将移动设备信息与用户账号关联,对设备进行唯一标识。“采集如此数据带来的风险也显而易见,若用户账号被泄露、被克隆,那对于用户产生的损失可能是利益上的、更甚是生命上的”,文章强调,“此类数据的采集对用户隐私侵害极大。”

如果APP不想被第三方SD K“私货”影响,文章提出了两种解决方法:一是要求第三方修改SDK,二是换一家“干净的”。

●法规约束

“模糊”的第三方APP不能推卸告知义务

对用户来说,APP作为网络产品提供者,是个人信息保护的直接责任方,应该遵守《中华人民共和国网络安全法》(下称“网安法”)里的对应条款。

网安法第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;第四十二条规定,未经被收集者同意,网络运营者不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外。也就是说,A PP如果想要和第三方共享用户的个人信息,必须事先取得用户的明示同意。

显然,SD K属于这里所说的“第三方”。但事实是,用户往往并不知道自己的个人信息在何时、以何种方式被共享给了SD K。这是因为,“隐私政策”作为A PP和用户之间关于如何处理和保护用户个人信息的载体,对与第三方共享用户个人信息的表述极为模糊。

“隐私政策”的内容通常包括A PP如何收集、使用、共享、保护用户个人信息,用户同意之后才能使用A PP。在隐私政策关于共享的相关表述中,最常见的是“可能会将用户的个人信息分享给第三方”。但是,几乎没有APP会在隐私政策中详细列举所谓的“第三方”究竟包括哪些。

这对用户来说当然不公平,但从APP的角度来说,他们也有自己的顾虑。北京玺泽律师事务所高级合伙人刘新焱对南都记者表示,由于APP开发公司可能和多家SD K提供商合作,而且未来和谁合作也不确定,所以才不把SD K提供商的名字写入自己的隐私协议。不过他强调,即便如此,APP还是不能推卸对用户的告知义务。

除了跟用户签署协议,有些APP和SDK之间也会签署协议,约定用户数据的采集范围和使用方式。某新媒体公司工程师X P告诉南都记者,协议里会写明SDK可以获取什么数据、数据的披露方式等,从而保障用户信息安全。但多名技术专家对此表示,由于SDK代码不开源,APP要监测它是否严格按约定收集数据有一定技术门槛,所以基本只能依靠协议约束。

●法律责任

SDK是APP的一部分,APP应承担所有法律责任

能收集详细的用户隐私数据,又处于监管的灰色地带,甚至使用它的APP也无法从技术上保证100%安全。SD K对用户来说,犹如一颗隐藏在暗处的“定时炸弹”,危险性不言而喻。

南都记者梳理发现,SDK提供商泄露和滥用用户信息的事件很多,有的甚至成为了黑灰产的源头。但对用户来说,没法直接了解SDK收集个人信息的方式,只能信任APP。

北京大学互联网发展研究中心专家研究员洪延青认为,如果SDK只是纯粹辅助APP分析用户数据,所有法律责任应由APP承担;如果SD K把收集到的APP用户信息用作其他用途,比如买卖、交换,APP和SDK就处于共同数据处理者的位置。由于SDK无法起到告知作用,APP必须详细告知用户这一行为,否则APP依然将承担所有法律责任。

中国信息安全研究院副院长左晓栋也告诉南都记者,目前对SDK没有监管,也缺乏监管依据,因为无论SDK的功能是什么,被使用后都会成为APP的一部分,“APP开发商要为其行为负责,不能以‘第三方’为理由搪塞”。“打个比方,对车主来说,如果发动机有问题,他不会关心发动机厂商是谁,只会找整车厂商,这是同一个道理”,左晓栋说。

因此,中国互联网协会研究中心秘书长、北京师范大学法学院教授吴沈括建议,应用商店和APP应当积极履行主体责任,确保用户安全利益。刘新焱则从法律义务的角度提出,APP应当自行与第三方签订协议和做些必要的技术检测,如果SDK等第三方造成了数据泄露,APP也应当承担相应的法律责任。

值得庆幸的是,南都记者发现,目前应用商店对APP的审核越来越严格,一旦发现不合规,会立即下架。这也促使APP选择正规的SDK提供商,合规地获取数据,在一定程度上也对SDK起到了规范效果。

名词解释

SDK是Software Development Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对APP来说,可以将某项功能交给第三方来开发以缩短周期。

加载中...