7月16日，央視3·15晚會(huì)播出，曝光了包括售賣(mài)過(guò)期食材、精裝房漏水漏氣、“黑心”毛巾貼國(guó)標(biāo)、美容院套路推銷(xiāo)、平臺(tái)推送虛假?gòu)V告等在內(nèi)的9大問(wèn)題，其中，還揭露了部分手機(jī)軟件違規(guī)收集個(gè)人信息的惡意行為。

戳視頻了解詳情據(jù)央視報(bào)道，上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)委托第三方對(duì)市場(chǎng)上的App進(jìn)行檢測(cè)，發(fā)現(xiàn)某些第三方開(kāi)發(fā)的SDK存在違規(guī)收集用戶(hù)個(gè)人信息的情況。

惡意SDK是什么？它又是怎樣悄悄在我們的手機(jī)中讀取信息的？它會(huì)對(duì)我們的生活產(chǎn)生怎樣的危害？

隱私泄露屢見(jiàn)不鮮

惡意SDK背后作惡

SDK是Software Development Kit的縮寫(xiě)，即“軟件開(kāi)發(fā)工具包”。簡(jiǎn)單來(lái)說(shuō)，它是輔助開(kāi)發(fā)某一類(lèi)應(yīng)用軟件的相關(guān)文檔、范例和工具的集合。

對(duì)App來(lái)說(shuō)，為了縮短APP開(kāi)發(fā)周期、提高開(kāi)發(fā)效率，可以將某項(xiàng)功能交給第三方來(lái)開(kāi)發(fā)，而第三方服務(wù)提供商便會(huì)將服務(wù)封裝成SDK供開(kāi)發(fā)者使用。

而部分SDK包中會(huì)加入一些惡意功能，輕者違規(guī)獲取用戶(hù)信息，重者則會(huì)威脅手機(jī)隱私安全、資金賬戶(hù)安全。

如“3·15晚會(huì)”曝光的氪信SDK，嵌入到APP后會(huì)默默收集用戶(hù)數(shù)據(jù)，其中包括：聯(lián)系人、通話(huà)記錄、短信、應(yīng)用安裝列表、設(shè)備信息、位置信息等。

據(jù)央視曝光，這款SDK共涉及50余個(gè)手機(jī)APP，SDK作為手機(jī)軟件中提供某種功能或服務(wù)的插件植入到手機(jī)軟件中，安裝了這些APP的用戶(hù)，手機(jī)中的隱私信息會(huì)被不斷讀取，而在這個(gè)過(guò)程中，用戶(hù)毫不知情。

（上下滑動(dòng)查看）

而此次晚會(huì)曝光的另一款北京招財(cái)旺旺信息技術(shù)有限公司開(kāi)發(fā)的SDK，除了收集用戶(hù)手機(jī)號(hào)碼、設(shè)備信息等隱私外，甚至?xí)占⑸蟼饔脩?hù)手機(jī)中的短信內(nèi)容，帶有驗(yàn)證碼的短信同樣會(huì)被上傳，在采集之后還會(huì)發(fā)送至指定服務(wù)器進(jìn)行儲(chǔ)存。

而用戶(hù)的短信驗(yàn)證碼是目前手機(jī)APP驗(yàn)證用戶(hù)身份的重要手段之一，一旦泄露，不法分子可能會(huì)利用短信驗(yàn)證碼進(jìn)行軟件登錄、支付款項(xiàng)、開(kāi)通業(yè)務(wù)等行為，可能會(huì)為用戶(hù)帶來(lái)極為嚴(yán)重的金錢(qián)損失。

SDK化身“黑產(chǎn)”保護(hù)傘

利用個(gè)人隱私頻頻作惡

除了央視所曝光的SDK過(guò)度讀取用戶(hù)隱私外，不法分子還利用惡意SDK為以下黑產(chǎn)事件“開(kāi)路”：

1、非法控制個(gè)人手機(jī)，進(jìn)行惡意流量推廣

2018年曾曝光過(guò)的“XX推”SDK，潛在影響近2千萬(wàn)用戶(hù)。

開(kāi)發(fā)商在300多款應(yīng)用里安裝了該款SDK，通過(guò)后門(mén)云控開(kāi)啟惡意功能，非法控制個(gè)人手機(jī)。惡意SDK可在云端動(dòng)態(tài)更新下向用戶(hù)手機(jī)發(fā)送惡意代碼包，Root用戶(hù)手機(jī)，植入惡意應(yīng)用到用戶(hù)設(shè)備系統(tǒng)目錄，進(jìn)行惡意廣告行為和應(yīng)用推廣，以實(shí)現(xiàn)牟取灰色收益。

同時(shí)，該SDK還會(huì)從服務(wù)器獲取刷量任務(wù)，通過(guò)惡意控制用戶(hù)手機(jī)的方式，在用戶(hù)無(wú)感知的情況下進(jìn)行自動(dòng)化刷量服務(wù)。在無(wú)形中，你的手機(jī)成為了惡意流量黑產(chǎn)的“幫手”。

2、成為第四方支付平臺(tái)的助推器

還有部分不法商家不斷突破紅線(xiàn)，將SDK用于“第四方支付平臺(tái)”，使用自己注冊(cè)和控制的支付“空殼公司”，為無(wú)收費(fèi)權(quán)限的游戲軟件、色情平臺(tái)、賭博平臺(tái)提供結(jié)算服務(wù)，給平臺(tái)帶來(lái)一定監(jiān)管風(fēng)險(xiǎn)。

2019年9月，守護(hù)者計(jì)劃安全團(tuán)隊(duì)配合遼寧警方破獲一起非法結(jié)算案，涉及微信商戶(hù)流水60億元。涉案公司屬游戲行業(yè)比較知名的聚合支付公司，在正常聚合業(yè)務(wù)之外，還為300余款無(wú)牌游戲APP提供收款通道。該案核心手法是挪用了商戶(hù)支付接口：犯罪團(tuán)伙將使用空殼公司注冊(cè)的批量微信商戶(hù)信息集成到SDK中，當(dāng)團(tuán)伙與無(wú)牌游戲公司勾連時(shí)，便將SDK作為游戲APP的支付功能模塊使用，最終將所收的游戲充值款回流給游戲公司，實(shí)現(xiàn)結(jié)算目的。

3、層層隱蔽，危害用戶(hù)安全

惡意SDK擁有很強(qiáng)的隱蔽性和對(duì)抗殺毒軟件的能力，軟件一旦植入惡意SDK，再通過(guò)應(yīng)用市場(chǎng)分發(fā)到用戶(hù)手中，就會(huì)造成較大的影響。

這些惡意SDK會(huì)持續(xù)對(duì)用戶(hù)的個(gè)人隱私進(jìn)行過(guò)度讀取，甚至幫助網(wǎng)絡(luò)黑產(chǎn)“鋪路”，嚴(yán)重影響移動(dòng)互聯(lián)網(wǎng)用戶(hù)的信息安全和財(cái)產(chǎn)安全，危害合法應(yīng)用市場(chǎng)聲譽(yù)，造成惡劣的社會(huì)影響。

如果這類(lèi)型的新型黑產(chǎn)手法不加以遏制，未來(lái)SDK黑產(chǎn)甚至可以控制用戶(hù)手機(jī)做更多的事情。

對(duì)惡意SDK重拳出擊

需要多方聯(lián)合齊努力

惡意SDK悄悄藏匿在手機(jī)軟件中，不僅讓用戶(hù)在使用過(guò)程中防不勝防，很多應(yīng)用軟件的開(kāi)發(fā)者甚至都未曾了解軟件導(dǎo)致的這些安全漏洞。

而惡意SDK無(wú)度索取個(gè)人信息、違規(guī)使用手機(jī)權(quán)限、“協(xié)助”黑產(chǎn)完成非法結(jié)算等行為，亟需整改和打擊，才能保護(hù)用戶(hù)的個(gè)人信息安全和財(cái)產(chǎn)安全。

在此，守哥呼吁各界攜手，一起行動(dòng)起來(lái)，聯(lián)合打擊惡意SDK：

作為源頭的APP開(kāi)發(fā)者，需要對(duì)SDK有著充分了解，從源頭上避免SDK通過(guò)APP過(guò)度索取用戶(hù)信息、為黑產(chǎn)“保駕護(hù)航”等行為。

1、APP應(yīng)用開(kāi)發(fā)者：

①APP應(yīng)用開(kāi)發(fā)者應(yīng)遵循合理、必要和最小化原則選擇第三方SDK。對(duì)必須使用的SDK包加大審核力度，對(duì)第三方SDK進(jìn)行全面的安全評(píng)估，特別警惕具有后臺(tái)云控功能控制代碼的SDK；

②開(kāi)發(fā)者應(yīng)從自身角度履行責(zé)任，保障用戶(hù)的信息安全。在軟件開(kāi)發(fā)過(guò)程中，需明確所開(kāi)發(fā)APP對(duì)個(gè)人信息的采集與利用，個(gè)人信息存儲(chǔ)及保護(hù)制度，個(gè)人信息的處理制度，未成年信息保護(hù)制度等，切實(shí)保護(hù)用戶(hù)個(gè)人信息及隱私。

作為軟件分發(fā)平臺(tái)的應(yīng)用市場(chǎng)，可以直接觸達(dá)到客戶(hù)，也需要充分發(fā)揮企業(yè)責(zé)任感。

2、應(yīng)用市場(chǎng)：

①各級(jí)應(yīng)用市場(chǎng)應(yīng)加強(qiáng)管理，增強(qiáng)對(duì)惡意SDK的識(shí)別、檢測(cè)和防范能力?？蓞⒖家恍?yīng)用分發(fā)平臺(tái)采用的“惡意行為檢測(cè)”+“隱私泄露檢查”+“安全漏洞掃描”+“人工實(shí)名復(fù)檢”四重檢測(cè)體系，以多樣安全審核措施保障上架應(yīng)用的安全合規(guī)；

②應(yīng)用市場(chǎng)應(yīng)履行自身責(zé)任，在對(duì)APP進(jìn)行檢測(cè)后，對(duì)合規(guī)、安全、穩(wěn)定的APP進(jìn)行標(biāo)識(shí)，便于用戶(hù)在下載軟件過(guò)程中進(jìn)行適當(dāng)?shù)倪x擇。而對(duì)于不合規(guī)的APP，應(yīng)用市場(chǎng)應(yīng)及時(shí)進(jìn)行下架處理。

作為用戶(hù)，我們更應(yīng)該從自己做起，保護(hù)個(gè)人隱私安全。

3、用戶(hù)：

①避免在非官方應(yīng)用市場(chǎng)下載APP，不要通過(guò)掃描二維碼、點(diǎn)擊鏈接的方式下載軟件；

②下載軟件后要對(duì)其進(jìn)行權(quán)限設(shè)置，在不影響使用的情況下盡量關(guān)閉應(yīng)用內(nèi)與“隱私相關(guān)”或與“資費(fèi)相關(guān)”的權(quán)限；

③忌在非官方渠道填寫(xiě)自己的銀行賬號(hào)及密碼等信息，填寫(xiě)任何個(gè)人信息都要三思而后行，仔細(xì)核查平臺(tái)的合法性；

④如果遇見(jiàn)泄漏用戶(hù)隱私或者其他違規(guī)行為的APP，及時(shí)通過(guò)中國(guó)互聯(lián)網(wǎng)違法和不良信息舉報(bào)中心的網(wǎng)址www.12377.cn進(jìn)行舉報(bào)。

文章來(lái)源： 守護(hù)者計(jì)劃，特此鳴謝！

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶(hù)發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版