这类软件赶紧卸载！央视315晚会揭露“手机里的窃贼插件”

7月16日，央视3·15晚会播出，曝光了包括售卖过期食材、精装房漏水漏气、“黑心”毛巾贴国标、美容院套路推销、平台推送虚假广告等在内的9大问题，其中，还揭露了部分手机软件违规收集个人信息的恶意行为。

戳视频了解详情据央视报道，上海市消费者权益保护委员会委托第三方对市场上的App进行检测，发现某些第三方开发的SDK存在违规收集用户个人信息的情况。

恶意SDK是什么？它又是怎样悄悄在我们的手机中读取信息的？它会对我们的生活产生怎样的危害？

隐私泄露屡见不鲜

恶意SDK背后作恶

SDK是Software Development Kit的缩写，即“软件开发工具包”。简单来说，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。

对App来说，为了缩短APP开发周期、提高开发效率，可以将某项功能交给第三方来开发，而第三方服务提供商便会将服务封装成SDK供开发者使用。

而部分SDK包中会加入一些恶意功能，轻者违规获取用户信息，重者则会威胁手机隐私安全、资金账户安全。

如“3·15晚会”曝光的氪信SDK，嵌入到APP后会默默收集用户数据，其中包括：联系人、通话记录、短信、应用安装列表、设备信息、位置信息等。

据央视曝光，这款SDK共涉及50余个手机APP，SDK作为手机软件中提供某种功能或服务的插件植入到手机软件中，安装了这些APP的用户，手机中的隐私信息会被不断读取，而在这个过程中，用户毫不知情。

（上下滑动查看）

而此次晚会曝光的另一款北京招财旺旺信息技术有限公司开发的SDK，除了收集用户手机号码、设备信息等隐私外，甚至会收集并上传用户手机中的短信内容，带有验证码的短信同样会被上传，在采集之后还会发送至指定服务器进行储存。

而用户的短信验证码是目前手机APP验证用户身份的重要手段之一，一旦泄露，不法分子可能会利用短信验证码进行软件登录、支付款项、开通业务等行为，可能会为用户带来极为严重的金钱损失。

SDK化身“黑产”保护伞

利用个人隐私频频作恶

除了央视所曝光的SDK过度读取用户隐私外，不法分子还利用恶意SDK为以下黑产事件“开路”：

1、非法控制个人手机，进行恶意流量推广

2018年曾曝光过的“XX推”SDK，潜在影响近2千万用户。

开发商在300多款应用里安装了该款SDK，通过后门云控开启恶意功能，非法控制个人手机。恶意SDK可在云端动态更新下向用户手机发送恶意代码包，Root用户手机，植入恶意应用到用户设备系统目录，进行恶意广告行为和应用推广，以实现牟取灰色收益。

同时，该SDK还会从服务器获取刷量任务，通过恶意控制用户手机的方式，在用户无感知的情况下进行自动化刷量服务。在无形中，你的手机成为了恶意流量黑产的“帮手”。

2、成为第四方支付平台的助推器

还有部分不法商家不断突破红线，将SDK用于“第四方支付平台”，使用自己注册和控制的支付“空壳公司”，为无收费权限的游戏软件、色情平台、赌博平台提供结算服务，给平台带来一定监管风险。

2019年9月，守护者计划安全团队配合辽宁警方破获一起非法结算案，涉及微信商户流水60亿元。涉案公司属游戏行业比较知名的聚合支付公司，在正常聚合业务之外，还为300余款无牌游戏APP提供收款通道。该案核心手法是挪用了商户支付接口：犯罪团伙将使用空壳公司注册的批量微信商户信息集成到SDK中，当团伙与无牌游戏公司勾连时，便将SDK作为游戏APP的支付功能模块使用，最终将所收的游戏充值款回流给游戏公司，实现结算目的。

3、层层隐蔽，危害用户安全

恶意SDK拥有很强的隐蔽性和对抗杀毒软件的能力，软件一旦植入恶意SDK，再通过应用市场分发到用户手中，就会造成较大的影响。

这些恶意SDK会持续对用户的个人隐私进行过度读取，甚至帮助网络黑产“铺路”，严重影响移动互联网用户的信息安全和财产安全，危害合法应用市场声誉，造成恶劣的社会影响。

如果这类型的新型黑产手法不加以遏制，未来SDK黑产甚至可以控制用户手机做更多的事情。

对恶意SDK重拳出击

需要多方联合齐努力

恶意SDK悄悄藏匿在手机软件中，不仅让用户在使用过程中防不胜防，很多应用软件的开发者甚至都未曾了解软件导致的这些安全漏洞。

而恶意SDK无度索取个人信息、违规使用手机权限、“协助”黑产完成非法结算等行为，亟需整改和打击，才能保护用户的个人信息安全和财产安全。

在此，守哥呼吁各界携手，一起行动起来，联合打击恶意SDK：

作为源头的APP开发者，需要对SDK有着充分了解，从源头上避免SDK通过APP过度索取用户信息、为黑产“保驾护航”等行为。

1、APP应用开发者：

①APP应用开发者应遵循合理、必要和最小化原则选择第三方SDK。对必须使用的SDK包加大审核力度，对第三方SDK进行全面的安全评估，特别警惕具有后台云控功能控制代码的SDK；

②开发者应从自身角度履行责任，保障用户的信息安全。在软件开发过程中，需明确所开发APP对个人信息的采集与利用，个人信息存储及保护制度，个人信息的处理制度，未成年信息保护制度等，切实保护用户个人信息及隐私。

作为软件分发平台的应用市场，可以直接触达到客户，也需要充分发挥企业责任感。

2、应用市场：

①各级应用市场应加强管理，增强对恶意SDK的识别、检测和防范能力。可参考一些应用分发平台采用的“恶意行为检测”+“隐私泄露检查”+“安全漏洞扫描”+“人工实名复检”四重检测体系，以多样安全审核措施保障上架应用的安全合规；

②应用市场应履行自身责任，在对APP进行检测后，对合规、安全、稳定的APP进行标识，便于用户在下载软件过程中进行适当的选择。而对于不合规的APP，应用市场应及时进行下架处理。

作为用户，我们更应该从自己做起，保护个人隐私安全。

3、用户：

①避免在非官方应用市场下载APP，不要通过扫描二维码、点击链接的方式下载软件；

②下载软件后要对其进行权限设置，在不影响使用的情况下尽量关闭应用内与“隐私相关”或与“资费相关”的权限；

③忌在非官方渠道填写自己的银行账号及密码等信息，填写任何个人信息都要三思而后行，仔细核查平台的合法性；

④如果遇见泄漏用户隐私或者其他违规行为的APP，及时通过中国互联网违法和不良信息举报中心的网址www.12377.cn进行举报。

文章来源： 守护者计划，特此鸣谢！

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。