南都报告:三成被测头部SDK涉嫌隐瞒收集用户个人信息
12月22日 , 由南方都市报个人信息保护研究中心主办的“2020啄木鸟数据治理论坛”在北京召开 。 会上 , 南都个人信息保护课题组发布了《个人信息安全年度报告(2020)》(以下简称“报告”) 。
在中国金融认证中心(CFCA)的技术支持下 , 《报告》对60款App嵌入的SDK收集使用个人信息的情况进行了测评 。 结果发现 , 所有受测App使用的SDK获取的权限超出最小必要范围 , 高德地图和友盟SDK存在隐瞒收集用户个人信息的嫌疑 。
所谓SDK , 是指协助软件开发的相关文档、范例和工具的集合 , 一般由第三方服务商或开发者提供 , 被广泛应用于各类App的开发中 , 可实现广告、支付、地图、社交等功能 。 在提升App兼容性和灵活性、节约开发成本的同时 , SDK带来的安全风险也引起多方关注 。
今年7月 , 央视3?15晚会曝光 , 有SDK在用户不知情的情况下读取用户手机IMEI号(一种设备标识符)、通讯录、短信等隐私信息 , 读完还会悄悄地将数据传送到指定的服务器存储起来 。
《报告》对60款App收集使用个人信息的情况进行了测评 。 结果发现 , 平均每款App使用11.3个SDK , 头中尾部App使用的SDK个数相差不大 , 仅在类型上有所差异 。
头部App使用应用安全及功能增强类、综合类SDK更多 , 中部App使用辅助开发类、统计分析类SDK更多 , 尾部App则较多使用应用安全及功能增强类、身份认证类SDK 。
尽管App平均嵌入上十个SDK , 告知方面却常常不到位 。 《报告》指出 , 可可英语、乐心健康等12款App没有在隐私政策中列出所使用的SDK , Keep、薄荷健康、学而思网校等16款App则调用了声明之外的SDK 。
比如薄荷健康App仅在隐私政策列出三个 SDK , 实际上却使用了号码速验、轻牛、神策数据、UC浏览器等12个SDK;掌门1对1辅导App虽然列出了17个SDK , 实测中却触发了个推、淘宝推送、UC浏览器等22个SDK 。
此外 , 有21个SDK获取了地理位置、手机相册、视频文件、手机号、账户信息等用户个人信息 , 但其中一些SDK获取的目的与其功能没有直接关系 。
比如魅族SDK属于消息推送类 , 实现它的功能无需收集用户的手机号 , 但当嵌入申万宏源和腾讯视频App时 , 魅族SDK均获取了用户的手机号 , 上述两个App也并未在隐私政策中告知 。
据了解 , 最新版国家标准《信息安全技术 移动互联网应用(App)收集个人信息基本规范》征求意见稿列明了30种常用服务类型App的最小必要权限范围 。 同理 , SDK理论上获取的最小必要权限也不应超出 。
值得注意的是 , 《报告》显示60款App使用的SDK获取的权限均超出最小必要范围 。 其中57款App使用的SDK获取了设备状态权限、已安装列表等;54款App使用的SDK获取了网络身份标志权限 。
此外 , 对20款头部SDK的进一步测评显示 , 有三成SDK实际获取的权限超出其在官方文档中声明获取的权限 , 有隐瞒收集用户个人信息的嫌疑 , 包括TalkingData、Mob推送、号码速验、友盟推送、高德地图和友盟SDK 。
比如其中 TalkingData SDK 仅声明获取地理位置权限 , 但其代码有能力获取通话记录、已绑定的 NFC 支付卡信息和第三方账户信息 。 Mob推送SDK同样仅声明了地理位置权限 , 但有能力获取手机号 。
文章插图
根据《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》 , SDK收集使用个人信息的实际行为应与官方文档声明保持一致 。 报告认为 , 如果没有实际用途 , SDK应删除此类代码 。
【南都报告:三成被测头部SDK涉嫌隐瞒收集用户个人信息】采写:见习采访人员 孙朝 个人信息保护研究中心研究员 尤一炜 南都采访人员 李慧琪
- 疫情重创触底反弹 2020年度数码复合ZDC报告
- 消防|阿里云AIoT云端一体重磅新品 国内首款安消一体机评测报告
- 消费者报告 | 美团充电宝电量不足也扣费,是质量问题还是系统缺陷?
- 健康|华米科技发布国人健康报告 00后睡眠时间最短90后爱晚睡
- 阳狮报告:4成受访者认为自己的数据比免费服务更有价值
- OPPO西欧出货量去年增长三倍 高端市场成头部厂商必争之地
- ReactOS年度报告:改进shell,增强应用管理
- 半导体大硅片研究报告(101页)
- 2020年键鼠外设ZDC报告:主题外设成新秀
- 多核难销 单核制胜 2020 CPU/主板行业ZDC报告