315晚会曝光SDK窃取个人隐私信息：涉及多款金融App

7月16日，2020年315晚会再次提到手机超限违规收集个人信息情况。据央视报道，上海市消费者权益保护委员会委托第三方对市场上的App进行检测，发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。

SDK是Software Development Kit的缩写，即“软件开发工具包”。简单来说，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说，可以将某项功能交给第三方来开发以缩短周期。

 

据移动支付网了解，具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段，成为整个手机软件供应链中不可或缺的一部分。

 

上海市消费者协会权益保护委员会检测了50多款App，这些App中带有两家公司的SDK：上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司。而50多款App中包含大量的金融App，如：国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等等。

在上海市消费者协会权益保护委员会的调查当中，第三方SDK除了收集用户手机号码、设备信息之外，还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息。在采集之后还会发送至指定服务器进行存储。

 

北京招财旺旺信息技术有限公司开发的SDK甚至会收集并上传用户手机中的短信内容，带有验证码的短信同样会被采集上传。

短信验证码是目前手机App验证用户身份的重要手段，通过短信验证码可以完成开通业务、支付款项、修改密码、修改绑定邮箱等敏感操作。在掌握手机号码的前提下，可以无密码登陆，只要有系统发送的验证码，就可以快速登陆。

 

短信验证码一旦泄露可能带来极为严重的财务损失。多地警方陆续破获使用“伪基站2.0”盗取短信验证码，进而通过各大银行、网站、移动支付App，实现信息窃取、资金盗刷和网络诈骗等犯罪。

 

去年1月，中央网信办、工信部、公安部、国家市场监督管理总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，成立了App违法违规收集使用个人信息专项治理工作组。

 

在随后的几个月时间里，仿冒App、过度索权、账户注销难、霸王隐私政策等问题得到了社会各界的广泛关注。在这段时间里《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《移动互联网应用基本业务功能必要信息规范》等文件相继出炉。 

 

在一系列文件出炉的同时，公安部、国家网信办、工信部等监管部门开始了违法违规App“点名”，2019年下半年几乎每个月都会有一批违法违规App被曝光。

 

去年11月，央行下发了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》（237号文），并随通知发布了《移动金融客户端应用软件安全管理规范》。在规范中，对移动客户端的身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全都做出了要求。 

 

在今年2月，央行发布了《个人金融信息保护技术规范》，并在其中强调，个人金融信息相关的客户端应用软件及应用软件开发工具包（SDK）应符合《移动金融客户端应用软件安全管理规范》、《网上银行系统信息安全通用规范》客户端应用软件有关安全技术要求。

原文始发于微信公众号（移动支付网）：315晚会曝光SDK窃取个人隐私信息：涉及多款金融App