7月16日晚,中央广播电视总台央视3·15晚会曝光了手机里的窃贼第三方SDK插件乱象,上海氪信等插件被曝窃取用户信息,国美易卡等应用中招。
这或许是整场晚会下来,与第三方支付领域关系最近的时刻了。
支付之家网了解到,SDK即“软体开发工具包”,一般是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具的集合。通俗点是指由第三方服务商提供的实现软件产品某项功能的工具包。
通常SDK是由专业性质的公司提供专业服务的集合,比如提供安卓开发工具、或者基于硬件开发的服务等。也有针对某项软件功能的SDK,如推送技术、图像识别技术、移动支付技术、语音识别分析技术等,在互联网开放的大趋势下,一些功能性的SDK已经被当作一个产品来运营。开发者不需要再对产品的每个功能进行开发,选择合适稳定的SDK服务并花费很少的精力就可以在产品中集成某项功能。
目前,各大主流互联网支付机构、聚合支付机构等公司旗下均有SDK类支付产品插件。开发者或需求方在产品中添加各品牌支付SDK,即可直接使用各种支付方式,无需再和各家支付公司逐一签订合同并自行开发服务端支付环境。
爱加密程智力曾公开表示,“应用开发者为了实现功能的快速开发,通常会在互联网上查询相关SDK来进行调用,如果这种SDK来源不可信或来源公开透明时,就会出现SDK源码透明、接口暴露等潜在风险。”
此次央视所曝光的窃贼插件,虽未具体到支付领域也没有涉及任何支付品牌,但对于行业而言也有一定的警示意义。
接下来我们一起看看央视315晚会上所曝光《曝光手机里的窃贼插件:你的短信可被全部传走,包括网络交易验证码!这些APP赶紧卸载》。
2019年11月,上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行了专门的测试,却发现一些SDK暗藏玄机。
上海市消费者权益保护委员会副主任兼秘书长陶爱莲称,测试当中我们发现SDK插件,没有经过用户的许可来窃取消费者手机当中的一些,比如说像短信的内容 。
依据《信息安全技术 移动互联网应用(App)收集个人信息基本规范》《App违法违规收集使用个人信息行为认定方法》等相关规定,技术人员检测了50多款手机软件,这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件,这两个插件,都存在用户不知情的情况下,偷偷窃取用户隐私的嫌疑,涉及国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件。
检测人员称,它会读取这部设备的IMEI、IMSI、运营商信息 、电话号码、短信记录、通讯录、应用安装列表、传感器信息,这些都属于用户隐私的东西,它去读。
这些APP里的SDK来读取用户的隐私信息只是第一步,读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。
检测人员介绍,因为SDK能够收集用户的联系人、短信、 位置、设备信息等,以及应用安装信息,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。
此外,虽然SDK只是一个看似普通的插件,但是因为它对所有的手机APP具有通用性,很多手机软件可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人隐私,将会涉及众多手机软件。
据氪信科技官网显示,氪信科技致力于以人工智能技术实现产业智能化,公司成立4年来,深耕金融行业,已成为工商银行、建设银行、交通银行、招商银行、浦发银行等国内领先金融机构AI升级的重要合作伙伴。
今年315是过去了……
