3·15晚会曝光上海氪信、招财旺旺SDK包泄露隐私 后台上传交易验证码敏感信息

 7月16日，央视3·15晚会曝光国美易卡、美的空调遥控器、姨妈日历、银码头等50多款软件中内嵌的SDK包读取、上传用户隐私问题。上海氪信信息技术有限公司、北京招财旺旺信息技术有限公司开发的SDK插件，在后台读取电话号码、通讯录、短信记录、应用列表等信息的同时，上传联系人、交易验证码等数据到第三方服务器。
 
镭射财经了解到，某些手机软件里暗藏第三方公司提供的SDK包，偷偷在后台读取并上传用户信息，例如短信内容。
 
技术人员对50多个软件测试发现，包含上海氪信信息技术有限公司、北京招财旺旺信息技术有限公司的插件，获取IMEI、电话号码、通讯录、短信记录、应用列表等用户隐私。
 
读取数据只是第一步，SDK还会悄悄将信息上传到指定的服务器存储起来。上传的内容，不只是简单的IMEI信息。
 
镭射财经发现，北京招财旺旺信息技术有限公司开发的插件涉嫌通过菜谱，家长帮、动态壁纸等多款软件，未经用户同意收集联系人、短信、位置、设备信息等，尤其是短信内容被全部读取并上传。其中，一条国美金融发送的验证码被上传到第三方服务器。
 
检测人员介绍，SDK能够收集短信、应用安装信息、网络交易验证码，一旦被别有用心的人获取，极有可能造成严重的经济损失。
 
镭射财经认为，问题的严重性不止于此，SDK对所有APP均有通用性，很多手机软件可能都嵌入了同一个SDK，因此一旦某个SDK可窃取用户个人隐私，将会涉及众多手机软件，波及更多智能手机用户。
 
用户隐私泄露问题由来已久，2019年3·15晚会曝光不少“所谓的大数据公司”通过探针，识别用户的手机号码、教育程度、月收入、身份职业等敏感信息，从而开展精准的营销工作。