昨晚8點，推遲已久的315晚會正式拉開帷幕，其中信息安全問題再次點名上榜。

2020年7月16日，在315晚會上曝出國美易卡、遙控器、最強手電、全能遙控器、91極速購、天天回收、閃到、蘿卜商城、紫金普惠等50多款手機APP存在收集上傳用戶隱私，甚至可竊取短信驗證碼問題。然而，如此之多的App涉嫌違規收集用戶隱私的罪魁禍首就是SDK，即在手機軟件中提供功能及服務的插件，它可以幫助App低成本地實現各種功能，比如，支付、廣告、推送等。

2019年11月，上海市消費者權益保護委員會委托第三方公司，對一些手機軟件中的SDK插件進行專項測試，發現上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家公司的SDK插件都存在“在用戶不知情的情況下竊取用戶隱私”的嫌疑，甚至連用戶的短信內容都可以獲取，這種現象的存在使用戶隱私及財產處于極度危險的狀態。

手機App的灰色地帶

其實App嵌入SDK的做法十分普遍，對于企業方面，軟件開發企業引入第三方SDK，不僅可以降低開發難度，還可以減少開發成本。對于用戶方面，則可以使用到軟件中的各種便捷服務。

隨著智能手機和信息技術的不斷發展，各類App功能不斷的完善及更新，使App運營商在向用戶提供服務的過程中，有條件獲得更多的個人信息，從而為用戶提供最大限度的便捷。然而，這個特性是一把雙刃劍，在不斷提高了用戶的使用體驗的同時，也給用戶的個人信息安全帶來更大隱患。其中最為隱晦的操作就是過度索取用戶個人信息。

在智能手機中，App軟件的法規條文里所謂的“第三方應用及服務”其實是個看得見摸不著的存在，不過想獲得一些便利的功能卻離不開它，比如收到的App消息，推送的新聞，搜索相關的廣告等，出于這些原因使SDK成為了App中的灰色地帶。

這些集成在App里的第三方工具包(SDK)，幫助App實現一些便捷功能的同時也具備一些捕獲設備信息和用戶信息能力，比如：電話、定位、錄音等個人信息。

《新版個人信息安全規范》正式發布，10月1日起正式實施。其中增加了“多項業務功能的自主選擇”、“用戶畫像的使用限制”、“個性化展示的使用”、“基于不同業務目所收集個人信息的匯聚融合”、“第三方接入管理”、“個人信息安全工程”、“個人信息處理活動記錄”等內容。

在規定中，SDK收集個人信息是需要經過用戶授權同意的。但據不完全統計，市面上有至少三成的SDK或隱瞞收集用戶個人信息。更有甚者，一些第三方的工具包開發者會故意預留“后門”，以便收集用戶信息或執行越權操作。

個人信息泄露的危險性

個人信息泄露的危險性不言而喻。根據315晚會報道，上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家違規企業的SDK中暗藏玄機，它可以在用戶不知情的情況下獲取用戶設備的IMSI，電話號碼、通訊錄、短信內容、傳感器信息等，不僅如此，這些敏感的個人信息還會傳送到服務器儲存起來。

其中短信記錄泄露的嚴重性是很大的，一旦用戶有網絡交易的驗證碼被獲取，極有可能造成嚴重的經濟損失。這就好比于你的手機中暗藏著一個“竊賊”，它可能會在你還毫不知情的情況下盜走你的財產。

最后

如今的智能手機早已融入了我們的生活，嘶吼作為安全行業的媒體，衷心的希望手機App過度獲取用戶信息的亂象能得到有效的整治，確保個人信息安全。隨著時代的發展，數字科技的步伐還會繼續前進，所面臨的困難也會越來越多。不過小編堅信，在安全行業與各相關組織的共同努力下，未來的科技世界將變得更加安全可靠。