12月22日,由南方都市报个人信息保护研究中心主办的“2020啄木鸟数据治理论坛”在北京召开。会上,南都个人信息保护课题组发布了《个人信息安全年度报告(2020)》(以下简称“报告”)。
在中国金融认证中心(CFCA)的技术支持下,《报告》对60款App嵌入的SDK收集使用个人信息的情况进行了测评。结果发现,所有受测App使用的SDK获取的权限超出最小必要范围。
所谓SDK,是指协助软件开发的相关文档、范例和工具的集合,一般由第三方服务商或开发者提供,被广泛应用于各类App的开发中,可实现广告、支付、地图、社交等功能。在提升App兼容性和灵活性、节约开发成本的同时,SDK带来的安全风险也引起多方关注。
今年7月,央视3•15晚会曝光,有SDK在用户不知情的情况下读取用户手机IMEI号(一种设备标识符)、通讯录、短信等隐私信息,读完还会悄悄地将数据传送到指定的服务器存储起来。
《报告》对60款App收集使用个人信息的情况进行了测评。结果发现,平均每款App使用11.3个SDK,头中尾部App使用的SDK个数相差不大,仅在类型上有所差异。
20个SDK声明申请的系统权限个数。
头部App使用应用安全及功能增强类、综合类SDK更多,中部App使用辅助开发类、统计分析类SDK更多,尾部App则较多使用应用安全及功能增强类、身份认证类SDK。
尽管App平均嵌入上十个SDK,告知方面却常常不到位。《报告》指出,可可英语、乐心健康等12款App没有在隐私政策中列出所使用的SDK,Keep、薄荷健康等16款App则调用了声明之外的SDK。
比如薄荷健康App仅在隐私政策列出三个 SDK,实际上却使用了号码速验、轻牛、神策数据、UC浏览器等12个SDK;掌门1对1辅导App虽然列出了17个SDK,实测中却触发了个推、淘宝推送、UC浏览器等22个SDK。
此外,有21个SDK获取了地理位置、手机相册、视频文件、手机号、账户信息等用户个人信息,但其中一些SDK获取的目的与其功能没有直接关系。
收集用户个人信息的SDK。
比如魅族SDK属于消息推送类,实现它的功能无需收集用户的手机号,但当嵌入申万宏源和腾讯视频App时,魅族SDK均获取了用户的手机号,上述两个App也并未在隐私政策中告知。
据了解,最新版国家标准《信息安全技术 移动互联网应用(App)收集个人信息基本规范》征求意见稿列明了30种常用服务类型App的最小必要权限范围。同理,SDK理论上获取的最小必要权限也不应超出。
值得注意的是,《报告》显示60款App使用的SDK获取的权限均超出最小必要范围。其中57款App使用的SDK获取了设备状态权限、已安装列表等;54款App使用的SDK获取了网络身份标志权限。
此外,对20款头部SDK的进一步测评显示,少数SDK代码有能力获取的个人信息超出了其在官方文档中声明的权限范围。也就是说,这些SDK有能力超出声明范围收集用户个人信息,比如TalkingData和友盟推送SDK。
其中TalkingData SDK仅声明获取地理位置权限,但其代码有能力获取通话记录、NFC权限和第三方账户信息。
南都记者注意到,在下载友盟旗下SDK之前,会弹窗告知将收集地理位置信息,隐私政策中也有所提及,但友盟推送SDK没有在官方技术集成文档中列出这一权限。
根据《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》,SDK收集使用个人信息的实际行为应与官方文档声明保持一致。报告认为,如果没有实际用途,SDK应删除此类代码。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
