7月16日,央视曝光了50余款App中内嵌SDK插件窃取用户隐私的问题,这些App通过内置SDK插件,在用户不知情的情况下,读取、上传用户电话号码、通讯录、短信记录、应用列表等信息,并窃取联系人、交易验证码等数据,严重侵犯用户隐私权益、财产安全。令人忧心的是,在360安全专家看来,违规采集、存储用户隐私,只是SDK安全隐患的“冰山一角”。
“SDK的安全风险主要有两方面,一是新闻中所提到的违规读取和储存用户隐私。此外,SDK自身也可能因为技术原因或恶意‘留后门’而存在大量漏洞,当这些漏洞被攻击,就可能会给用户带来严重损失。”360安全专家介绍,在如今快速便捷的时代要求下,大量软件开发团队都会在软件里嵌入第三方SDK,以便节约开发成本与开发时间。这些SDK插件在帮助宿主App 优化运营效率的同时,也获取了海量的设备信息和用户个人信息。
有数据显示,当前,有超过50%App使用第三方SDK,各类App平均使用10+个第三方SDK,且第三方SDK功能多样化。因此,对SDK数据采集行为的管理亟待加码。
360集团首席安全官杜跃进在接受央视记者采访时表示,对于SDK采集数据的行为,普通用户个人能够采取的应对措施相当有限,主要还是要依靠监管层面的管理、移动应用开发者的合规性自查。
近年来,相关部门多次开展个人信息保护整治行动;去年12月,国家网信办出台《App违法违规收集使用个人信息行为认定方法》,强化用户的知情权和决定权;针对在7月16日央视“3·15”晚会报道的SDK涉嫌违规收集用户个人信息的问题,工信部也要求第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业。
监管发力只是一方面,App的开发者和提供商也应当严格自查。但是,面对海量App和复杂的SDK功能,无论是监管还是自查都就存在“量大”、“路径复杂”、“技术门槛较高”等门槛。对此,360天御团队打造了“360天御SDK安全检测平台”与“个人信息收集合规检测平台”,针对性解决了监管和开发者自检难题。
监管机构与应用平台可使用360天御SDK安全检测平台和个人信息收集合规检测平台,对海量的移动应用进行批量审查、检测。批量自动化检测流程,在面对大量重复性工作或任务时,能有助于监管机构与应用平台有效节约时间和人力成本。
同时,360天御SDK安全检测平台将专业检测能力与经验封装为普适性工具,也大大降低安全检测与合规检测的技术门槛,使无专业背景的管理人员也可进行深度检测。
助力监管的同时,移动应用开发者也可利用360天御SDK安全检测平台和个人信息收集合规检测平台,进行全面的安全自检与上线前的合规自检。通过安全检测服务,筛查应用自身可能存在风险,基于检测报告提供的专业整改意见进行修改,保证应用上线后无法被非法破解或利用。同时,基于《App违法违规收集使用个人信息行为认定办法》等相关标准,验证应用是否存在违法违规行为,确定应用上线后不存在隐私泄露等违规现象。
“我们希望能发挥360的网络安全行业龙头作用,有效帮助监管部门与广大开发者做好用户隐私安全的保护。”360安全专家表示,除了“360 SDK安全检测平台”与“个人信息收集合规检测平台”,360还将通过360手机卫士守护好C端用户的隐私安全。
