科技发展至今日，我们的隐私安全依旧无处遁形。315曝光50余款App的窃贼插件昨天，在因疫情迟来的315晚会上曝光了一些手机应用中存在第三方SDK插件，窃取用户信息的情况。

这些违规插件不仅可以将你的短信全部传走，甚至包括网络交易验证码也不在话下。据315晚会报道，2019年11月，在上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行测试的时候，就发现一些SDK里存在的问题。SDK是SoftwareDevelopmentKit的缩写，即软件开发工具包，一般来说，SDK可以实现安卓开发工具、广告推送、图像识别或移动支付等功能。

通过SDK插件，App开发者不再需要针对每项功能进行开发，极大缩短了产品的开发周期。技术人员一共检测了50多款手机软件，这些软件中分别包含了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的SDK插件。而这两个公司的插件，都存在在用户不知情的情况下，私自窃取用户隐私信息的问题。

涉及到的手机App达50多款，包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城等。据介绍，这两个插件会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息。你以为这就完了吗，更可怕的是，这些App里的SDK在读取完成后，还会悄悄地将数据传送到指定的服务器存储起来。

细思极恐！吓得我赶快删掉了所有短信。此外，检测人员也指出：“虽然SDK只是一个看似普通的插件，但是因为它对所有的手机App具有通用性，很多手机软件可能都嵌入了同一个SDK，因此一旦某个SDK窃取用户个人隐私，将会涉及众多手机软件。”对此，网友也直呼：“大数据时代，我们居然毫无安全可言”。

从人脸识别5毛起售再到被App私自窃取信息，我们的隐私安全到底应该如何谈起，这一话题也在知乎引起热议。SDK插件是怎么窃取用户隐私的？正如上文所说，卸载App也并不是万全之策，所以，大家更好奇的还是SDK插件如何窃取隐私的？回答这个问题之前，我们先了解下SDK插件的信息收集情况。根据南都此前发布的《常用第三方SDK收集使用个人信息测评报告》（以下简称《报告》）显示：通过对60款App进行5-30分钟时长不等的逐一检测后发现，可以将SDK实际收集的信息划分为五类：手机设备信息（如IMEI、IMSI等设备唯一识别码）；网络信息（如IP地址、MAC地址、Wi-Fi热点等）；手机状态信息（如已安装/运行中的应用信息）；用户行为信息（如锁屏、安装、升级、卸载应用软件）；用户个人信息（如电话号码、地理位置、通话记录）。

收集用户信息方面，据统计，在检测时间内，60款App使用的966个SDK中，有150个获取了IMEI、IMSI等手机设备信息，在所有类别中最为频繁；其次是Wi-Fi连接信息（IP地址、MAC地址）、扫描周围热点、Wi-Fi热点信息（SSID）、运营商与基站信息等各类网络信息，都有35个以上SDK获取；还有10个SDK获取了用户行为信息，比如锁屏、安装/升级/卸载App。此外，用户的电话号码、地理位置、手机视频和相册等个人信息也被一些SDK获取，尤其是地理位置信息，被32个SDK获取。

值得注意的是，钉钉、铁路12306、闲鱼等App使用的支付宝SDK，派派、陌陌等App使用的声网SDK,百度贴吧App以及铁路12306App使用的梆梆安全SDK都收集了传感器信息。很多情况下，步数、心跳等与健康相关的个人信息就是通过“传感器”权限收集。手机里的传感器主要用于运动计步。

它的工作原理和麦克风一样，都是记录震动。每当手机扬声器发出的声音，这些震动都会被加速度传感器记录下来。只要把这些细微的震动变化进行还原，就可以识别破解出扬声器里的谈话内容。更可怕的是，手机App对加速度传感器的调用，并不是高权限，可以在不询问的情况下悄悄开启。

在这种情况下，不论是苹果，还是安卓手机，都难逃被偷听的命运。所以，这些信息的重要性你懂的。那么，重点来了，这些SDK插件为什么能如此轻易的获取这么多信息呢？一个很重要的原因就是很多App在隐私政策中并没有为其设限。

《报告》显示，不少App并没有做到收集前告知。比如，宜人财富App和宜人贷借款App使用的TalkingDataSDK获取了用户的地理位置，但两款App的隐私政策都没有提及会收集位置信息。也就是说，用户的隐私很可能在不知情的情况下被SDK收集了。

所以，收集用户信息是第一步，用收集的信息来“作恶”就是第二步了，当然，这并不是指这些企业本身。因为除了App个性化推送的需要，还离不开一条规模大、链条长、利益大的黑色产业链。这个产业链背后在做什么，大家也有所了解。

简单来说，上游负责供货；中游负责信息处理与再加工，形成规模化市场；下游负责“应用变现”，通过电信诈骗、恶意营销等非法渠道牟取高额利润。产业链结构完整，各种信息明码标价。根据2017年发布的《电子商务生态安全白皮书》推测，中国“网络黑产”从业人员已经超过150万，市场规模高达千亿级别。

以黑产中较为重要的交易产品——个人App账号密码为例。数十亿账号密码，被黑灰产业所掌握，他们大多数都是通过撞库、刷库造成账号被盗，而盗号衍生的产业链年获利超百亿元。而据数据统计，每个人手机中平均有56款App，少一点的可能十多个，多一点的，上百都有可能。

中国应用商店数量有200多家，上架的App有500多万款。那么，这些App有可能停止收集你的数据吗？答案是：不可能。App不去挖掘用户的数据，就很难获得用户痛点和喜好，没有对用户痛点和喜好的洞察，就无法提供合适的产品和解决方案，也就无法创造商业价值。如何避开这样的隐私曝光侵害？那么，一个老生常谈的问题是如何避免我们的信息被窃取呢？可能很多人的第一想法当然是卸载这类App，但绝对禁止显然不是一条好路子，还是要从源头入手。

首先，对于企业而言，记录用户数据无法避免。很多厂商会记录用户的匿名数据，但侵犯用户隐私的关键在于，拿到用户数据后有没有脱敏，如何运用这些数据。所以，对于厂商而言，更为重要的工作应该是通过系统层面的更新，尽可能严格规范开发者行为，而不是让开发者举着你根本不会看的用户许可，冠冕堂皇拿走你的隐私。对于开发商而言，则要尽可能选择有一定市场基础的第三方SDK，尽量使用苹果和谷歌商店里选用的SDK进行集成。

其次，从政策层面上来规范，《数据安全管理办法（征求意见稿）》第三十条规定，网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。《信息安全技术个人信息安全规范》修订草案则要求，涉及SDK等第三方嵌入或接入的自动化工具的个人信息控制者，宜开展技术检测确保第三方的个人信息收集、使用行为符合约定要求；宜对其收集个人信息的行为进行审计，发现超出约定行为的及时切断接入。在315曝光后，工信部今日也表示将在第一时间组织相关单位进行认真核查，依法依规严厉查处涉事企业。下一步，将采取常态化监管措施，加强移动互联网应用程序App综合治理。

集聚产业力量，推动技术手段建设，大幅提升技术检测水平。加强监督检查，加大对各类违规行为的处置和曝光力度，对未经用户同意收集使用用户个人信息等违规行为，依法予以查处，切实维护用户合法权益。

最后，从个人层面来讲，在下载App时，最好选择恶意密度较低的应用商店，比如苹果的Appstore、安卓手机的应用商店，不要在一些恶意App密度高的应用商店下载。在安装App时，会弹出各种权限申请，此时一定要注意位置信息、手机通讯录等隐私权限，不常用的不要给。

此外，要定期清理手机内存数据，不要把身份证照片、银行卡号等关键信息留在手机内，定期查看手机应用权限。还要警惕来源不明的二维码扫描、注册申请等，一些补贴、礼品很有可能是黑灰产为了收集个人信息的诱饵，2块钱获得的数据被转手就能卖出10块钱。

发现信息被泄露后，也不要自认倒霉。按相关规定，消费者有权要求网络服务提供者删除个人隐私信息，还能向公安和互联网管理部门进行投诉举报。

当然，没有人喜欢主动出卖隐私，也不会有人觉得数据被私自调用是合情合理的事情，一旦这些后台行为的调用逐渐清晰和明朗化，系统也愿意给出更多限制性手段后，守住自己的私密数据，大概就不会成为一个难题了。

本文来源：1050开元网站-www.9023.com.cn