互联网|金融App注意！工信部发文整治SDK乱象进行“地毯式”排查 |中年|工信部|

移动支付网作者伟辰：7月17日，工业和信息化部发文要求严厉查处“315晚会”曝光的信息通信领域违规行为。
第一，立即组织北京市、上海市通信管理局对涉事两家SDK企业，进行核查处理；
第二，立即组织第三方检测机构对曝光使用上述两家SDK的50余款App进行技术检测，对存在问题的App第一时间启动下架程序；
第三，立即启动应用商店联动处置机制，责成国内主要应用商店，第一时间对类似问题进行“地毯式”排查，对发现问题一律第一时间予以下架，同时要求应用商店及时通知App运营开发者自查自纠，及时发现、处理违规收集用户个人信息的SDK 。

本文插图
SDK是SoftwareDevelopment Kit的缩写，即“软件开发工具包” 。简单来说，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说，可以将某项功能交给第三方来开发以缩短周期。
据移动支付网了解，具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段，成为整个手机软件供应链中不可或缺的一部分。
近年来， App个人信息违规采集问题频现，企业往往将App个人信息安全问题聚焦在自身代码的开发层面，很容易忽视App中集成的第三方SDK安全问题，殊不知正是这些提供便利的第三方SDK正在背后插刀。
由于同一款SDK有可能会同时存在于不同款App当中，用户一款手机有可能同时被同一款SDK通过不同App收集用户数据。这样第三方SDK可以获取大批量不同App的用户数据。
第三方SDK可以通过挖掘用户数据形成种种工具，如通过App的安装情况以及获取的用户定位，绘制出热力图帮助线下店铺选址；通过设备指纹信息算法信息，帮助App进行智能获客、智能营销。
以上是第三方SDK将流量变现的主要方式，属于比较克制的利用。有安全公司指出，部分SDK会采用Android操作系统的热更新机制，在集成环节伪装成正常SDK ，逃避集成方的检查，而在应用发布后运行在用户手机时，通过热更新机制从SDK的服务端动态加载恶意代码。
恶意SDK有可能发动恶意的攻击行为，例如在用户毫无察觉的情况下打开相机拍照，通过发送短信盗取双因素认证令牌，或将设备变成僵尸网络的一部分。
2018年4月，腾讯安全反诈骗实验室的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推” ，它通过预留的“后门”云控开启恶意功能，私自ROOT用户设备并植入恶意模块，进行恶意广告行为和应用推广，以实现牟取灰色收益。 300多款知名应用遭遇“寄生推”的病毒感染，其中不乏用户超过千万的巨量级软件，潜在影响用户超2000万。
根据《网络安全法》第四十三条、第四十四条规定：任何个人和组织不得窃取或者以其他非法方式获取个人信息，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息。

本文插图
《网络安全法》第六十九条规定，违反四十三条、第四十四条，可处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。

本文插图
7月16日， “315晚会”再次曝光手机超限违规收集个人信息情况。据央视报道，上海市消费者权益保护委员会委托第三方对市场上的App进行检测，发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。分页标题
上海市消费者协会权益保护委员会检测了50多款App ，这些App中带有两家公司的SDK：上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司。而50多款App中包含大量的金融App ，如：国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等等。

本文插图

本文插图
工信部发文之前，被“315晚会”点名的上海氪信信息技术有限公司发布声明，称经过上海氪信的内部评估，认为SDK技术有被滥用的风险。因此，在2019年年底前，上海氪信就已完全停用SDK技术。

本文插图
据移动支付网了解，上海氪信成立于2015年12月，是一家大数据AI平台，已经完成D轮融资。天眼查股东信息显示，该公司的股东中包括了真格基金、深圳市招商局创新投资基金中心（有限合伙）、上海火山石一期股权投资合伙企业（有限合伙）等， 2019年10月，浦发银行上海信托旗下的金融科技基金亦入股上海氪信。
公开资料显示，发展至今，上海氪信已成为工商银行、建设银行、交通银行、招商银行、浦发银行等国内领先金融机构AI升级的重要合作伙伴。
【互联网|金融App注意！工信部发文整治SDK乱象进行“地毯式”排查】

互联网|金融App注意！工信部发文整治SDK乱象 进行“地毯式”排查

互联网|金融App注意！工信部发文整治SDK乱象进行“地毯式”排查