央视315丨APP的SDK窃取并存储隐私 涉及国美易卡、91极速购等50款软件

凤凰网财经讯北京时间周四（7月16日），2020年“3·15”晚会在央视财经频道现场直播。今年晚会以“凝聚力量、共筑美好”为主题，秉持担当消费领域瞭望者的使命，直击行业黑幕和企业漏洞，守护公共利益，建设美好生活；凤凰网财经全程报道。

据央视315晚会报道，手机应用软件也就是我们通常说的APP，超范围收集用户个人信息，这事已经是老生常谈，但更想不到的是，某些手机应用软件里还暗藏另外一个窃贼，这就是由第三方公司提供的插件，也被称为SDK包，在背地里偷偷摸摸的干着见不得人的事。

依据信息安全技术移动互联网应用APP收集个人信息基本规范APP违法违规收集违法收集等相关规定，技术人员检测了50多款手机软件，这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺有限公司，都存在用户不知情情况下偷偷窃取用户信息的情况。

这些APP的SDK读取用户信息只是第一步，读取完成后还会悄悄的将数据传送到指定服务器存储起来，除了电话号码通讯录这样的个人隐私，北京招财旺旺甚至涉嫌通过多款软件窃取用户更加隐私的信息。

检测人员表示，SDK收集用户联系人、短信、位置、设备信息等，尤其短信，短信内容全部传走，这个是很严重的。这部手机中存在的真实的短信记录，号码是谁，短信内容是什么，都可以很清晰地看到。

以下为央视报道：

解说：SDK是在手机软件中提供某种功能或服务的插件，2019年11月，上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行专门测试，却发现SDK暗藏玄机。

嘉宾：窃取用户手机当中的短信内容。

解说：依据信息安全技术移动互联网应用APP收集个人信息基本规范APP违法违规收集违法收集等相关规定，技术人员检测了50多款手机软件，这些软件中分别含有上海氪信信息技术有限公司和北京招彩旺旺有限公司，都存在用户不知情情况下偷偷窃取用户信息的情况。

嘉宾：对读取设备的运营商信息、电话号码、短信记录、传感器信息，这些都属于用户隐私的东西，它去读。

解说：这些APP的SDK读取用户信息只是第一步，读取完成后还会悄悄的将数据传送到指定服务器存储起来，除了电话号码通讯录这样的个人隐私，北京招财旺旺甚至涉嫌通过多款软件窃取用户更加隐私的信息。

检测人员：收集用户联系人、短信、位置、设备信息等等等等，尤其短信，短信内容全部传走，这个是很严重的。这是这部手机中存在的真实的短信记录，下行号码是谁，短信内容是什么，都可以很清晰地看到。

解说用户如此重要而私密的信息，就这样被传送到第三方服务器，检测人员介绍，因为SDK能够收集用户的短信以及应用安装信息网络交易验证码，这些信息一旦被别有用心的人获取，很有可能造成严重的经济损失，此外，随着SDK只是一个看似普通的插件，但因为对所有手机APP具有通用性，一旦某SDK窃取用户个人隐私，将会涉及众多手机然软件。

检测人员：这样的涉及量就比较大了。

解说：工作人员还发现一些知名手机APP也有收集用户隐私的现象，涉及酷音铃声、铃声大全等多款软件。