记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

南都报告:部分头部SDK获取用户手机号、通话记录未告知

2020-12-25 04:16

12月22日,由南方都市报个人信息保护研究中心主办的“2020啄木鸟数据治理论坛”在北京召开。会上,南都个人信息保护课题组发布了《个人信息安全年度报告(2020)》(以下简称“报告”)。

在中国金融认证中心(CFCA)的技术支持下,《报告》对60款App嵌入的SDK收集使用个人信息的情况进行了测评。结果发现,所有受测App使用的SDK获取的权限超出最小必要范围。

所谓SDK,是指协助软件开发的相关文档、范例和工具的集合,一般由第三方服务商或开发者提供,被广泛应用于各类App的开发中,可实现广告、支付、地图、社交等功能。在提升App兼容性和灵活性、节约开发成本的同时,SDK带来的安全风险也引起多方关注。

今年7月,央视3•15晚会曝光,有SDK在用户不知情的情况下读取用户手机IMEI号(一种设备标识符)、通讯录、短信等隐私信息,读完还会悄悄地将数据传送到指定的服务器存储起来。

《报告》对60款App收集使用个人信息的情况进行了测评。结果发现,平均每款App使用11.3个SDK,头中尾部App使用的SDK个数相差不大,仅在类型上有所差异。

20个SDK声明申请的系统权限个数。

头部App使用应用安全及功能增强类、综合类SDK更多,中部App使用辅助开发类、统计分析类SDK更多,尾部App则较多使用应用安全及功能增强类、身份认证类SDK。

尽管App平均嵌入上十个SDK,告知方面却常常不到位。《报告》指出,可可英语、乐心健康等12款App没有在隐私政策中列出所使用的SDK,Keep、薄荷健康等16款App则调用了声明之外的SDK。

比如薄荷健康App仅在隐私政策列出三个 SDK,实际上却使用了号码速验、轻牛、神策数据、UC浏览器等12个SDK;掌门1对1辅导App虽然列出了17个SDK,实测中却触发了个推、淘宝推送、UC浏览器等22个SDK。

此外,有21个SDK获取了地理位置、手机相册、视频文件、手机号、账户信息等用户个人信息,但其中一些SDK获取的目的与其功能没有直接关系。

收集用户个人信息的SDK。

比如魅族SDK属于消息推送类,实现它的功能无需收集用户的手机号,但当嵌入申万宏源和腾讯视频App时,魅族SDK均获取了用户的手机号,上述两个App也并未在隐私政策中告知。

据了解,最新版国家标准《信息安全技术 移动互联网应用(App)收集个人信息基本规范》征求意见稿列明了30种常用服务类型App的最小必要权限范围。同理,SDK理论上获取的最小必要权限也不应超出。

值得注意的是,《报告》显示60款App使用的SDK获取的权限均超出最小必要范围。其中57款App使用的SDK获取了设备状态权限、已安装列表等;54款App使用的SDK获取了网络身份标志权限。

此外,对20款头部SDK的进一步测评显示,少数SDK代码有能力获取的个人信息超出了其在官方文档中声明的权限范围。也就是说,这些SDK有能力超出声明范围收集用户个人信息,比如TalkingData和友盟推送SDK。

其中TalkingData SDK仅声明获取地理位置权限,但其代码有能力获取通话记录、NFC权限和第三方账户信息。

南都记者注意到,在下载友盟旗下SDK之前,会弹窗告知将收集地理位置信息,隐私政策中也有所提及,但友盟推送SDK没有在官方技术集成文档中列出这一权限。

根据《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》,SDK收集使用个人信息的实际行为应与官方文档声明保持一致。报告认为,如果没有实际用途,SDK应删除此类代码。

声明:本文来自隐私护卫队,版权归作者所有。


知识来源: https://www.secrss.com/articles/28261

阅读:160393 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“南都报告:部分头部SDK获取用户手机号、通话记录未告知”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁