315晚會(huì)曝光SDK竊取個(gè)人隱私信息:涉及多款金融App
責(zé)編:gltian |2020-07-17 10:08:227月16日,2020年315晚會(huì)再次提到手機(jī)超限違規(guī)收集個(gè)人信息情況。據(jù)央視報(bào)道,上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)委托第三方對市場上的App進(jìn)行檢測,發(fā)現(xiàn)某些第三方開發(fā)的SDK包存在違規(guī)收集用戶個(gè)人信息的情況。
SDK是Software Development Kit的縮寫,即“軟件開發(fā)工具包”。簡單來說,它是輔助開發(fā)某一類應(yīng)用軟件的相關(guān)文檔、范例和工具的集合。對App來說,可以將某項(xiàng)功能交給第三方來開發(fā)以縮短周期。
據(jù)移動(dòng)支付網(wǎng)了解,具備強(qiáng)大功能的第三方SDK廣泛應(yīng)用在大量App的設(shè)計(jì)開發(fā)階段,成為整個(gè)手機(jī)軟件供應(yīng)鏈中不可或缺的一部分。
上海市消費(fèi)者協(xié)會(huì)權(quán)益保護(hù)委員會(huì)檢測了50多款A(yù)pp,這些App中帶有兩家公司的SDK:上海氪信信息技術(shù)有限公司、北京招彩旺旺信息技術(shù)有限公司。而50多款A(yù)pp中包含大量的金融App,如:國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等等。
在上海市消費(fèi)者協(xié)會(huì)權(quán)益保護(hù)委員會(huì)的調(diào)查當(dāng)中,第三方SDK除了收集用戶手機(jī)號(hào)碼、設(shè)備信息之外,還會(huì)收集用戶手機(jī)通訊錄、短信信息、傳感器信息等用戶隱私信息。在采集之后還會(huì)發(fā)送至指定服務(wù)器進(jìn)行存儲(chǔ)。
北京招財(cái)旺旺信息技術(shù)有限公司開發(fā)的SDK甚至?xí)占⑸蟼饔脩羰謾C(jī)中的短信內(nèi)容,帶有驗(yàn)證碼的短信同樣會(huì)被采集上傳。
短信驗(yàn)證碼是目前手機(jī)App驗(yàn)證用戶身份的重要手段,通過短信驗(yàn)證碼可以完成開通業(yè)務(wù)、支付款項(xiàng)、修改密碼、修改綁定郵箱等敏感操作。在掌握手機(jī)號(hào)碼的前提下,可以無密碼登陸,只要有系統(tǒng)發(fā)送的驗(yàn)證碼,就可以快速登陸。
短信驗(yàn)證碼一旦泄露可能帶來極為嚴(yán)重的財(cái)務(wù)損失。多地警方陸續(xù)破獲使用“偽基站2.0”盜取短信驗(yàn)證碼,進(jìn)而通過各大銀行、網(wǎng)站、移動(dòng)支付App,實(shí)現(xiàn)信息竊取、資金盜刷和網(wǎng)絡(luò)詐騙等犯罪。
去年1月,中央網(wǎng)信辦、工信部、公安部、國家市場監(jiān)督管理總局四部門聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,成立了App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組。
在隨后的幾個(gè)月時(shí)間里,仿冒App、過度索權(quán)、賬戶注銷難、霸王隱私政策等問題得到了社會(huì)各界的廣泛關(guān)注。在這段時(shí)間里《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法(征求意見稿)》、《移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》等文件相繼出爐。
在一系列文件出爐的同時(shí),公安部、國家網(wǎng)信辦、工信部等監(jiān)管部門開始了違法違規(guī)App“點(diǎn)名”,2019年下半年幾乎每個(gè)月都會(huì)有一批違法違規(guī)App被曝光。
去年11月,央行下發(fā)了《關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理的通知》(237號(hào)文),并隨通知發(fā)布了《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》。在規(guī)范中,對移動(dòng)客戶端的身份認(rèn)證安全、邏輯安全、安全功能設(shè)計(jì)、密碼算法及密鑰管理、數(shù)據(jù)安全都做出了要求。
在今年2月,央行發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》,并在其中強(qiáng)調(diào),個(gè)人金融信息相關(guān)的客戶端應(yīng)用軟件及應(yīng)用軟件開發(fā)工具包(SDK)應(yīng)符合《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》客戶端應(yīng)用軟件有關(guān)安全技術(shù)要求。
來源:移動(dòng)支付網(wǎng)
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!