2020-07-17 16:13:2618044人阅读
7月16日晚上,因疫情延期播出的2020央视”315晚会”再次提及手机超限违规收集个人信息的情况。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的APP进行了专门的测试,发现这50余款APP竟然暗藏”窃贼插件”。
报道指出,技术人员检测的50余款APP,分别含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的SDK插件,而这两个插件,都存在在用户不知情的情况下,偷偷窃取用户隐私的嫌疑,如用户的通话记录、联系人、短信内容、网络交易的验证码等。
技术检测人员表示,“该插件会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息。”而这些APP里的SDK来读取用户的隐私信息只是第一步,读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。除了通讯录、电话号码这样的个人隐私,北京招彩旺旺信息技术有限公司的SDK,甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件,窃取用户更加隐私的信息。
检测人员随即展示了手机中真实短信记录的示意图,从示意图可以清楚看到该条短信的下行号码和内容,如果未经用户同意,收集用户的联系人、短信、位置、设备信息等,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。
SDK,是 Software Development Kit 的缩写,即“软件开发工具包”。具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段,可以帮助APP缩短开发周期。虽然SDK只是一个看似普通的插件,但是因为它对所有的手机APP具有通用性,很多手机软件可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人隐私,将会涉及众多手机软件。
值得注意的是,从去年年初四部委App治理工作组公布《App违法违规收集使用个人信息自评估指南》,到《App违法违规收集使用个人信息行为认定方法》(征求意见稿)出台,监管与治理“规则”已逐渐明确。2019年12月,工信部先后通报两批涉嫌“侵害用户权益”的App名单,56款App被指出存在违规收集、使用用户个人信息等行为,部分App因未能如期按照要求完成整改被依法下架。
同期,公安部组织App违法采集个人信息集中整治行动,依法查处违法违规采集个人信息App共计达到683款,并对100款App进行了下架处理。
2020年1月和5月,国家计算机病毒应急处理中心分别通报了24款和21款App,其中不乏你我常用的知名App因涉嫌超范围采集个人隐私信息被点名。
截至2019年12月末,我国国内市场上监测到的APP数量为367万款,分发总量达9502亿次。然而,在对齐监管新政的过程中,中小企业大多面临着政策解读门槛高、缺乏专业合规检测团队、第三方SDK信息不可控、产品设计流程不规范、人员流失快带来的代码高风险以及移动应用更新迭代快带来新的风险等诸多问题。本次315晚会曝光的50余款隐私不合规APP正是由于使用了第三方不可控SDK造成的。
对此,百度基于内部大量实践经验打造了“史宾格安全及隐私合规平台”,为APP开发者和运营者带来了一站式的解决方案。在隐私政策文本检测、APP收集使用个人信息行为检测、APP用户权利保障等方面,为APP开发者和运营者提供全面、准确和快捷的隐私合规检测支持,可实现检测能力与监管要求的一致性,实现对最新政策要求的全面覆盖和规则对齐。
同时,面向创业者和中小企业,百度安全还上线了个人信息保护扶持计划,并专门推出了史宾格安全及隐私合规平台免费扶持版,免费扶持版提供的服务包括隐私风险项检测、隐私专项检测、权限过度收集与使用情况检测等产品服务。基于市场上最全的第三方SDK隐私检测能力和特征库,对于集成了三方SDK的APP而言,免费扶持版也可实现自动化检测,轻松解决第三方SDK的权限使用不可控的难题。
针对此次 “315晚会”重点通报的招财SDK、氪信SDK,史宾格安全及隐私合规平台免费扶持版检测能力可完全覆盖,并协助开发者、企业快速高效完成APP自查工作。
【福利】现在加入扶持计划的企业可在一年的计划期限内获得对旗下选定的一款App的扶持版使用权限,并支持每天5次的隐私合规检测。
即日起至7月31日,申领扶持版免费(1年使用期),专业版6折,点击此处速来领取福利吧!