摘要: 新浪科技讯 7月21日晚间消息,针对“3·15央视曝光50多款App中内嵌SDK插件窃取用户隐私”一事,360集团首席安全官杜跃进表示,对于SDK采集数据的行为,普通用户个人能够采取的
新浪科技讯 7月21日晚间消息,针对“3·15央视曝光50多款App中内嵌SDK插件窃取用户隐私”一事,360集团首席安全官杜跃进表示,对于SDK采集数据的行为,普通用户个人能够采取的应对措施相当有限,主要还是要依靠监管层面的管理、移动应用开发者的合规性自查。同时,360推出SDK安全监测平台,针对性解决了监管和开发者自检难题。
据央视报道,国美易卡、麦芽贷等App中内嵌SDK插件窃取用户隐私的问题,这些App通过内置SDK插件,在用户不知情的情况下,读取、上传用户电话号码、通讯录、短信记录、应用列表等信息,并窃取联系人、交易验证码等数据,严重侵犯用户隐私权益、财产安全。
“SDK的安全风险主要有两方面,一是新闻中所提到的违规读取和储存用户隐私。此外,SDK自身也可能因为技术原因或恶意‘留后门’而存在大量漏洞,当这些漏洞被攻击,就可能会给用户带来严重损失”,360安全专家介绍,如今大量软件开发团队都会在软件里嵌入第三方SDK,以便节约开发成本与开发时间。这些SDK插件在帮助宿主App 优化运营效率的同时,也获取了海量的设备信息和用户个人信息。
有数据显示,当前,有超过50%App使用第三方SDK,各类App平均使用10+个第三方SDK,且第三方SDK功能多样化。因此,对SDK数据采集行为的管理亟待加码。
360集团首席安全官杜跃进在接受央视记者采访时表示,对于SDK采集数据的行为,普通用户个人能够采取的应对措施相当有限,主要还是要依靠监管层面的管理、移动应用开发者的合规性自查。但是,面对海量App和复杂的SDK功能,无论是监管还是自查都就存在“量大”、“路径复杂”、“技术门槛较高”等门槛。对此,360上线了“360天御SDK安全检测平台”与“个人信息收集合规检测平台”,针对性解决了监管和开发者自检难题,通过安全检测,筛查应用自身可能存在风险,同时,基于相关标准,验证应用是否存在违法违规行为,确定应用上线后不存在隐私泄露等违规现象。(大鹏)
相关文章推荐
新网新人专享,注册领SSL证书百元神券2022-09-15
新网与亚洲诚信达成战略合作,携手共建安全云生态2022-09-06
企业网站没有SSL证书,你将面临......2022-09-27
SSL协议、TLS协议,有什么区别?2022-09-26
网站跳出率高?可能是没装SSL证书2022-09-26