消费者报告 | 315晚会曝手机App安全隐患：内嵌SDK插件盗取用户隐私

记者 | 李晨

编辑 |

1

在今年的央视315晚会上，一些手机应用中存在的第三方SDK插件被曝出存在窃取用户信息的情况。

SDK的全称为software development kit（软件开发工具包），它是集成在手机App里的第三方工具包，可以理解为手机的组装模块。通过SDK手机App得以低成本地实现很多功能，比如地图，支付，社交，广告等。此外，SDK还可以有效减少程序员的工作量，降低软件的开发难度，但同时可能会存在一些安全隐患问题。

据315晚会报道，2019年11月，在上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行测试的时候，就发现一些SDK里存在的问题。

技术人员一共检测了50多款手机软件，这些软件中分别包含了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的SDK插件。而这两个公司的插件，都存在在用户不知情的情况下，私自窃取用户隐私信息的问题。涉及到的手机APP达50多款，包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城等。

据检测人员介绍，这两家公司的SDK会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息。且在这些隐私信息读取完成后，还会悄悄地将数据传送到指定的服务器存储起来。北京招彩旺旺信息技术有限公司的SDK，甚至涉嫌通过菜谱、家长帮、动态壁纸等多款软件，窃取用户更加隐私的信息。  

检测人员警告称，因为SDK能够收集用户的短信，以及应用安装信息，一旦用户有网络交易的验证码被获取，极有可能造成严重的经济损失。

此外，315晚会报道称，虽然SDK只是一个看似普通的插件，但是因为它对所有的手机App具有通用性，很多手机软件可能都嵌入了同一个SDK，因此一旦某个SDK窃取了用户个人隐私，将会涉及众多手机软件。在此次检测当中除了内嵌SDK插件以外，工作人员还发现一些知名手机App也有收集用户隐私的现象，涉及酷音铃声、手机铃声、铃声大全等多款软件。

实际上，这并非是SDK第一次被曝出存在违规获取用户隐私的问题。早在2019年9月15日，国家计算机病毒中心发布的《移动App违法违规问题及治理举措》中，就指出了App和SDK存在的六大类问题，包括远程控制、恶意扣费等八大类恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。

除此之外，在知乎上，也一直有软件开发领域的相关从业人员呼吁要重视SDK侵犯用户隐私的问题，但一直未引起公众重视。而此次315晚会的曝光，再次将相关问题由幕后推向了前台。

据天眼查显示，上海氪信信息技术有限公司已经完成多轮融资，公司投资方包含浦发银行上海信托、上海金浦、墨白资本等；北京招彩旺旺信息技术有限公司旗下产品为招财狗，已融资至天使轮，投资方包括晟道投资、真格基金。两家公司所提供的服务均包含计算机的软件开发服务等。截止发稿时，两家公司都尚未对央视的曝光予以任何回应。

目前，针对央视指出的这些使用了相关SDK插件的APP中，国美易卡和美的方面均给与了回应。国美易卡称，报道中提到的“氪信SDK插件”，已于2020年1月14日从国美易卡APP下线。目前国美已经全面停止了与氪信一切合作。而美的则表示，晚会中提及的美的空调遥控器App并非美的空调以及美的美居所开发的官方应用软件。同时，美的已经成立专项打假小组，正在追查软件开发者。