据今年央视“315”晚会曝光,一些看起来免费使用的盗版软件,App内集成了多个跟官方软件毫不相干的第三方SDK插件,运行时SDK就能偷走用户手机里的个人信息,从硬件到软件,用户所有关键识别信息都被一网打尽。这些信息被盗走后,即使更换了手机或者号码也能精准锁定用户,实时追踪和捕捉用户动态,进而向用户推送大量的广告进行流量变现,甚至将信息传送到境外,成为精准诈骗的重要数据来源。本次央视“315”曝光的“com.sijla.g.a”等SDK插件问题,安天移动安全早在去年年初发布《移动互联网应用供应链(SDK)行为安全性现状研究报告》中就对其进行了分析和披露。在长期持续关注第三方供应链SDK (以下简称SDK)合规问题过程中,安天移动安全安鉴风险检测预警平台发现,当前第三方SDK中普遍存在安全问题和风险行为,包括但不限于违规收集个人信息、超范围收集个人信息、伪装推送和匿名推送等。
违规收集个人信息:隐私政策中虽向用户明示个人信息处理的目的、方式和范围,但在用户同意隐私条款前便开始进行个人信息收集。
SDK超范围收集个人信息:在SDK非服务所必需或无合理应用场景的情况下,特别是在静默状态下或后台运行时,该SDK存在超范围收集个人信息的行为。
伪装推送和匿名推送:应用、SDK 实现的通知栏消息推送展示的内容与其应用无关,用户无法明确知道推送内容的来源。
目前常见的第三方开发的功能代码模块类型有广告 SDK、支付 SDK、消息推送 SDK、用户行为统计 SDK 等等。应用开发者(通常以中小开发者为主)往往难以全面的评估其接入 SDK 的安全性,以及 SDK 的全部运行行为。如果第三方 SDK 存在某些恶意或风险的代码、行为,则会被引入到 App 中,给应用开发者和App 用户带来不可估量的安全风险和权益问题。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。今年央视“315”曝光的 “com.sijla.g.a”“com.sijla.b.b”“com.q.Qt.” 等三款SDK插件,背后都指向了同一家开发者。在对这些插件检测中发现,虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等。#案例:央视“315”曝光的SDK超范围收集个人信息问题去年年初,安鉴风险检测预警平台在对该开发者旗下另一款名为“com.sijla.d.c”的检测中发现,除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。除此以外,该SDK还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
安鉴风险检测预警平台在检测中发现,应用接入第三方 SDK 引发的违规收集个人信息问题较为普遍,其中主要包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的 SDK 和数据收集情况、SDK 收集的个人信息范围与隐私政策不相符的问题。安鉴风险检测预警平台在检测中发现,在对某统计类SDK检测分析时发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。由于该SDK 在不同App中存在模块代码和版本的不同,因此我们对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。以某知名地图 App为例,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的 BSSID 名称信息外,还频繁上传用户安装应用的列表信息。
匿名推送和伪装推送行为通常是指应用、SDK 实现的通知栏消息推送展示的内容与其应用无关,用户无法明确知道推送内容的来源以及点击推送消息的风险,安鉴风险检测预警平台在检测中发现,其通常会以诱导用户点击从而跳转到第三方应用来达到推广的目的。该 App 在当日启动运行后,会进行通知栏消息推送,每天推送2-3条消息,并且通知栏消息的展现形式存在匿名推送和伪装推送两种问题。下图示例的匿名推送中,用户无法从通知栏消息上明确看出推送消息的 App 主体。经过分析发现,该行为是由推送 SDK 从云端推送的消息,并显示在通知栏上,用于广告推广。其存在推送内容与 App 本身业务功能不相符的情况,并且推送的内容文字和图标让用户无法得知其具体内容,我们也称其为伪装推送。除此之外,安天移动安全风险检测预警平台在长期持续关注第三方供应链SDK合规以及侵害用户权益问题的过程中发现,应用接入的第三方 SDK还存在使用云控策略控制数据收集行为、热更新技术控制 SDK 行为、自动下载安装和误触下载广告行为、后台拉活行为等诸多问题及风险。
现如今,第三方 SDK被广泛应用于App中,应用开发者为了提高应用的迭代速度、降低开发成本以及提供更加丰富的业务功能,除了自主开发 App 的相关功能代码外,还会接入由第三方开发的功能代码模块,从而快速接入和实现某类业务功能,但风险也随之而来,如果第三方 SDK 存在某些恶意或风险的代码、行为,则会被引入到 App 中,给App 用户带来不可估量的安全风险和权益问题。
今年央视“315”曝光的SDK违规超范围收集用户信息的行为,将供应链合规问题再次摆上台面的同时,也为供应链SDK开发者敲响了警钟。当前无论是监管部门、手机厂商还是安全厂商都在持续关注App、供应链SDK侵害用户权益问题。供应链开发者应在提供服务的同时,重视收集用户信息的合理性和合法性。接下来,安天移动安全将加大对供应链SDK安全风险和权益问题的检测力度,配合监管部门并联合产业链各方进行生态治理,从而更好地保障用户权益。