來源:金融界網站
7月16日,在延遲四個月播出的「315」晚會中,央視曝光了國美易卡、麥芽貸等50多款App中內嵌SDK插件竊取用戶隱私的問題,這些App通過內置SDK插件,在用戶不知情的情況下,讀取、上傳用戶電話號碼、通訊錄、簡訊記錄、應用列表等信息,並竊取聯繫人、交易驗證碼等數據,嚴重侵犯用戶隱私權益、財產安全。令人憂心的是,在360安全專家看來,違規採集、存儲用戶隱私,只是SDK安全隱患的「冰山一角」。
「SDK的安全風險主要有兩方面,一是新聞中所提到的違規讀取和儲存用戶隱私。此外,SDK自身也可能因為技術原因或惡意『留後門』而存在大量漏洞,當這些漏洞被攻擊,就可能會給用戶帶來嚴重損失。」360安全專家介紹,在如今快速便捷的時代要求下,大量軟體開發團隊都會在軟體裡嵌入第三方SDK,以便節約開發成本與開發時間。這些SDK插件在幫助宿主App 優化運營效率的同時,也獲取了海量的設備信息和用戶個人信息。
有數據顯示,當前,有超過50%App使用第三方SDK,各類App平均使用10+個第三方SDK,且第三方SDK功能多樣化。因此,對SDK數據採集行為的管理亟待加碼。
360集團首席安全官杜躍進在接受央視記者採訪時表示,對於SDK採集數據的行為,普通用戶個人能夠採取的應對措施相當有限,主要還是要依靠監管層面的管理、移動應用開發者的合規性自查。
近年來,網信辦、工信部、公安部等相關部門多次開展個人信息保護整治行動;去年12月,國家網信辦出臺《App違法違規收集使用個人信息行為認定方法》,強化用戶的知情權和決定權;針對在7月16日央視「315」晚會報導的SDK涉嫌違規收集用戶個人信息的問題,工信部也要求第一時間組織相關單位進行認真核查,依法依規嚴厲查處涉事企業。
監管發力只是一方面,App的開發者和提供商也應當嚴格自查。但是,面對海量App和複雜的SDK功能,無論是監管還是自查都就存在「量大」、「路徑複雜」、「技術門檻較高」等門檻。對此,360天御團隊打造了「360天御SDK安全檢測平臺」與「個人信息收集合規檢測平臺」,針對性解決了監管和開發者自檢難題。
監管機構與應用平臺可使用360天御SDK安全檢測平臺和個人信息收集合規檢測平臺,對海量的移動應用進行批量審查、檢測。批量自動化檢測流程,在面對大量重複性工作或任務時,能有助於監管機構與應用平臺有效節約時間和人力成本。
同時,360天御SDK安全檢測平臺將專業檢測能力與經驗封裝為普適性工具,也大大降低安全檢測與合規檢測的技術門檻,使無專業背景的管理人員也可進行深度檢測。近年來,360天御團隊使用平臺,先後為公安部、工信部、國家病毒中心等多個政府部門和機構提供了相關技術支撐。
助力監管的同時,移動應用開發者也可利用360天御SDK安全檢測平臺和個人信息收集合規檢測平臺,進行全面的安全自檢與上線前的合規自檢。通過安全檢測服務,篩查應用自身可能存在風險,基於檢測報告提供的專業整改意見進行修改,保證應用上線後無法被非法破解或利用。同時,基於《App違法違規收集使用個人信息行為認定辦法》等相關標準,驗證應用是否存在違法違規行為,確定應用上線後不存在隱私洩露等違規現象。
「我們希望能發揮360的網絡安全行業龍頭作用,有效幫助監管部門與廣大開發者做好用戶隱私安全的保護。」360安全專家表示,除了「360 SDK安全檢測平臺」與「個人信息收集合規檢測平臺」,360還將通過360手機衛士守護好C端用戶的隱私安全。