Zoom危机?警惕SDK

2020年04月13日10:34    作者:和昶律所  

  文/意见领袖专栏机构 北京和昶律师事务所

  本文作者:王亮亮 

  合理合法使用个人信息,是APP和SDK的权利和义务,也是用户享受便捷网络生活的必由之路。但是,如果APP和SDK双方合力,越过用户知情同意的栅栏,共同“巧取豪夺”个人信息这块大奶酪,谋取黑色、灰色利益,就是“强盗”行径。

  疫情催生了线上办公、网课需求,视频会议软件迎来了风口。国内的钉钉、腾讯会议等软件相继出圈:被“小学生”怒刷一星评价后,钉钉悲情告白,成功圈粉;腾讯会议、企业微信帮联合国线上开会,喜大普奔。国内风景目前尚好,但太平洋彼岸的美利坚,Zoom却不太乐观,其虽占有美国最大市场份额,市值也翻番,但因为一个SDK被折腾得愁云惨淡,股价暴跌。

  事情起源于3月26日,科技媒体《Motherboard》刊文指出Zoom App内嵌的Facebook SDK会向Facebook传输用户的手机型号、城市、广告唯一标识符、IP地址等用户个人信息,即使没有Facebook账号,用户的信息也照样发送。也就是说,用户只知道Zoom会收集信息,但不知道Zoom内嵌的第三方SDK也会收集信息,Zoom在隐私政策中也未提及这一不速之客。此后,Zoom还被曝泄露用户姓名、照片、邮箱,约15000个Zoom会议录制视频被传至网上……,众所周知,美国的消费者不好惹,NASA与SpaceX公司已禁用Zoom软件,多个学校也不再使用Zoom上网课,甚至,加州一居民已经起诉Zoom,要求赔偿。

  一、Zoom事小,SDK事大

  Zoom危机背后,各种乱象浮出水面,但最普遍、最难缠莫过于SDK(本文所指为第三方SDK,以下省略第三方),因为凡使用智能手机,几乎都离不开SDK。这也给国内的友商们敲响了警钟,如果App对SDK使用、管理不慎,或者被潜伏于手机、别有用心的SDK,“暗度陈仓”,那么除了民事赔偿、行政处罚,刑事风险也悄悄临近。

  SDK(Software Development Kit)中文名为“软件开发工具包”,它是辅助开发App的相关文档、范例和工具的集合。为了缩短开发周期、提高开发效率、降低开发成本等考虑,开发一款App,不需要开发者事必亲躬,如果某些功能有第三方开发成熟的话,就可以将此外包,第三方将特定功能封装为工具包(SDK)后,供App开发者直接使用。如果说App是一个“大箱子”,其中有些标准化的“小箱子”也就是SDK,是直接从第三方搬过来的,这是双赢的选择。

  开发SDK的第三方像超市,各个消费者(APP开发方)可以自由选购需要的产品(SDK),拿回家直接使用。所以,手机App上的语音识别、新闻推送、广告推荐、地图导航、支付等特定功能,都有可能出自SDK之手。

  SDK一般分为登录分享类(微信登录分享SDK、QQ登录分享SDK)、支付类(微信支付SDK、银联SDK、支付宝SDK等)、地图导航类、推送类、广告类和数据统计分析类。

  看着图中熟悉的名字,也就能知道SDK与APP的紧密联系。SDK是高效、快捷地实现APP某些功能的常用手段,如果合理使用、合法采集,SDK方、App方、用户三方皆大欢喜;但是,成也萧何败萧何,有的SDK的“野心“不止于服务App、造福用户,“幽灵”SDK、“病毒”SDK也就不足为怪了。

  二、App的“寄生者”

  App与SDK并不相同,也不能等而视之。用户对App收集个人信息的授权同意,不能等同是对SDK的授权。用户下载、使用的App合法收集、使用个人信息,无可厚非,但隐藏在App背后的SDK收集、使用个人信息,如未明示,用户是毫不知情的。有些软件的隐私政策,对SDK的存在及收集使用个人信息情况,秘而不宣;有些软件的隐私政策“通过可能会将用户的个人信息分享给第三方”的笼统表述将SDK一笔带过。这些看似聪明的策略,实则加重了自己的违法风险。

  如果App对SDK秘而不宣,SDK又是App的一部分,App应对SDK的行为承担法律责任。对用户来说,SDK是隐身的,用户首先是信任App,其次才可能通过App的隐私政策知情这些第三方。如果SDK作为App的受托方,只按照约定分析用户数据,并不独立收集、存储和另做他用,那么数据的风险与SDK无关。如果SDK把收集到的App个人信息独立存储,且用作其他用途,如出售、交换等,App开发方和SDK就处于共同信息控制者的角色;但SDK一般是“寄生”在App中,个人信息也是通过授权给App才被获取,SDK一般无法有效告知用户其收集情况,所以,SDK对信息的获取和使用情况只能通过App开发方告知,同时还应履行监督职责,否则App依然应承担法律责任。

  App方非法采集、使用公民个人信息只是各种乱象的冰山一角,在个人信息形成的冰山之下,SDK似庞然大物。道理十分简单,一个App能够收集的个人信息是有限、分散的;而SDK可供不同App重复使用、嵌入,也就意味着它具有信息融合功能。凡是使用同一SDK的不同App,在分别收集个人信息供App使用之外,每一个App上输送的个人信息极有可能变成SDK “信息水池”的供水管道,蓄水于一池,其“静水流深”可见一斑。

  理论上,一个成功的SDK可以让无数个App同时使用,为其“供水”,正因如此,SDK一般也都是免费的。但是,天下没有免费的午餐,个人信息可能就是对价。相比App从单一渠道收集的有限数据,SDK可以收集不同类别App收集的个人信息,汇聚融合,可能拼出完整清晰的用户画像。这是一般App可望不可及的,精确的用户画像在商业领域意味着什么,不言自明。

  三、SDK乱象丛生

  除了获取App对应功能收集的信息外,SDK还可以一般性地收集五类信息:1.用户手机上已安装的 App 信息列表和正在运行的App列表、App卸载信息、App启动次数、使用时长、锁屏信息等;2.用户不同账号信息;3.用户网络相关如GPS 、NFC、蓝牙信息、IP、MAC地址、Wi-Fi热点信息等;4.手机设备信息,如IMEI、IMSI等设备标识信息、SIM标识信息、手机号码等;5.传感器信息、行动轨迹信息等。

  2019年7月,南都个人信息保护研究中心、中国金融认证中心(CFCA)联合发布《常用第三方SDK收集使用个人信息测评报告》(采样时间截止于2019年4月)显示:

  “60款常用App共使用了至少966个SDK,平均每款App使用19.3个SDK,微信SDK共被47款App使用;腾讯Open和小米推送SDK,分别有41款App和40款App使用。华为SDK、支付宝SDK、Facebook SDK和爱彼迎SDK被超过半数APP使用……”引发Zoom危机的也正是其中的明星翘楚Facebook SDK。

  图片源于:“南都”《常用第三方SDK收集使用个人信息测评报告》第5页

  该报告指出:“中国银行手机银行App使用讯飞SDK可以“对环境或通话录音”,但App却没有提供任何隐私政策;宜人财富App、宜人贷借款App使用TalkingData SDK获取了用户的地理位置,但未在隐私政策中告知用户。每日优鲜App嵌入的支付宝SDK获取用户手机号,但作为一款支付类SDK,获取手机号的行为与其支付功能并无直接关系。”

  “南都”又一次揭开SDK乱象的盖子,SDK存在问题主要有三个方面:

  1、未经同意、隐瞒收集用户个人信息

  除Zoom事件、“南都测评报告”中的SDK乱象外,早在2015年,“有米”广告SDK就被发现收集用户Apple ID、邮件地址、设备识别码,以及手机App列表信息等;导致安装“有米”SDK的256款App被苹果App Store下架。又在2017年,广告SDK “个信”被发现内置后门,在未经用户允许的情况下收集用户隐私数据,获取用户设备中全部已安装App列表信息,该SDK嵌入的500多款App总下载量超过1亿次,最终全部被Google Play下架;2019年上半年,中国杭州某科技企业被曝光利用SDK隐瞒收集用户联系人信息、QQ登录信息、位置信息等。

  中国信息通信研究院安全所一篇研究报告指出:“嵌入APP的某些第三方SDK能够收集个人信息标识、行动轨迹、个人偏好、网络设备信息等,并上传至远程服务器,甚至是境外服务器。同时,卡巴斯基实验室研究人员也曾公开表示,目前使用广告推送SDK的应用程序总数已达几十亿,其中大多数会以明文方式向服务器传输个人信息(包括姓名、年龄、性别、电话号码、邮箱地址、位置信息、唯一设备标识码等)。”

  2、借助App “掩护”,恶意操作

  2015年,浙江平湖欧某等人研发广告SDK,同时向多家手机方案商、中间商、厂商推介广告SDK业务:装有广告SDK的手机在用户首次开机联网时,广告SDK在用户不知情的情况下,向后台服务器上传IMEI、IMSI等用户设备信息,并自动更新广告SDK版本,还能根据与手机商达成的运营方案向用户推送商业性电子信息。

  2018年,腾讯安全反诈骗实验室TRP-AI反病毒引擎捕获到多款知名应用在用户设备上私自提权,静默植入应用等恶意操作。经过溯源分析,恶意推送信息的SDK“寄生推”被确定,其通过预留的“后门”云控开启恶意功能,私自Root用户设备并植入恶意模块,进行恶意广告行为和应用推广,300多款APP近2000万用户受影响。其中不乏多款知名APP。

  以上情形,实际上是在未经用户许可的情况下,通过SDK获取用户信息,根据配置情况决定弹送广告方式、频率、静默下载其他软件等行为,属于非法控制行为,涉嫌非法控制计算机信息系统罪。

  3、自身面临巨大安全风险

  SDK处于监管的灰色地带,目前对APP的治理还在攻坚阶段,SDK一般潜伏在APP之后,问题还未全部浮出水面。甚至使用SDK的APP开发方也无法从技术上保证其安全。同时,绝大部分SDK缺乏安全审核环节,开发者因为疏忽或者故意都可能造成代码安全漏洞。相关研究也表明,SDK普遍存在着SSL / TLS 配置错误、过多索取敏感权限、HTTP 非必要调用、用户日志泄漏等危害用户隐私数据的问题。

  四、宣战SDK

  SDK的问题虽形形色色,但仍能拉出两条主线:一是,使用SDK的APP不作为或者不想作为;二是,SDK不作为或者恶意作为。

  合理合法使用个人信息,是APP和SDK的权利和义务,也是用户享受便捷网络生活的必由之路。但是,如果APP和SDK双方合力,越过用户知情同意的栅栏,共同“巧取豪夺”个人信息这块大奶酪,谋取黑色、灰色利益,就是“强盗”行径。

  如何抓“强盗”?法律的规定不仅有,而且还很丰富。《中华人民共和国民法典》即将诞生,其中有个人信息保护一节。《中华人民共和国网安法》指导下法规、规章、国标等正在紧密制定并推行,其中《数据安全管理办法(征求意见稿)》、《个人信息安全规范》、《移动互联网应用程序(App)收集使用个人信息自评估指南》都明确指出了APP应如何处理与SDK的关系,同时也对SDK提出了规范措施(详细规定见下表)。尤其是刑法还规定了侵入计算机信息系统犯罪与侵犯公民个人信息罪等。与个人信息巨大潜在利益同在的,是各种法律风险。 

  让我们回到本文开头,Zoom的问题是科技媒体《Motherboard》首先发现的;目光转向瑞幸咖啡,它的财务造假是一家专业的市场做空机构“浑水”披露的,可见市场的力量。值得一提的是本文援引报告的发布方:南方都市报(南都个人信息保护研究中心),专注于个人隐私保护,“隐私护卫队”的旗帜鲜明,值得点赞。但是,权利终究是我们每一个人的,如果你我漠视权利被侵犯,习惯了被欺骗,怀疑是否能改变,那么权利不会从天而降。如果我们每个人从认真读一读APP的隐私政策开始,进一寸有一寸的欢喜,改变就已经发生。

  参考资料:

  1.南方都市报(蒋琳):《会议软件Zoom偷偷向脸书发送用户数据被告 相关SDK已移除》。

  2.南都个人信息保护研究中心,中国金融认证中心(CFCA):《常用第三方SDK收集使用个人信息测评报告》(2019年7月)。

  3.马杰:《Android系统外部SDK安全漏洞检测研究》,《信息技术与网络安全》2019年第8期,第6页。

  4.王然,陈湉,秦博阳:《App嵌入第三方SDK安全隐患分析与对策建议》,《保密科学技术》2019年第10期,第22页。

  5.向鸣霞:《未经允许植入“广告SDK ”是否具有非法性》,《检察日报》2020年01月12日003版。

  6.新华社:《监测发现:300余款知名应用感染“寄生推”病毒》2018年4月19日。

  7.国家互联网信息办公室:《数据安全管理办法(征求意见稿)》(2019年5月)。

  8.国家市场监督管理总局,国家标准化管理委员会:《信息安全技术 个人信息安全规范》(GB 35273-2020)。

  9.全国信息安全标准化技术委员会秘书处:《移动互联网应用程序(App)收集使用个人信息自评估指南》(2020年3月)。

  (本文作者介绍:北京和昶律师事务所是一家以刑事辩护和刑事风险防控为主的专业型、研究型律师事务所)

责任编辑:潘翘楚

  新浪财经意见领袖专栏文章均为作者个人观点,不代表新浪财经的立场和观点。

  欢迎关注官方微信“意见领袖”,阅读更多精彩文章。点击微信界面右上角的+号,选择“添加朋友”,输入意见领袖的微信号“kopleader”即可,也可以扫描下方二维码添加关注。意见领袖将为您提供财经专业领域的专业分析。

意见领袖官方微信
文章关键词: Zoom SDK 应用程序
分享到:
保存  |  打印  |  关闭
网络文学盗版一年损失近60亿 侵权模式“花样百出” 香港诊所被曝给内地客人打水货疫苗 给香港人用正品 铁路部门下发买短补长临时办法:执意越站加收50%票款 优速快递董事长夫妻双双身亡 生前疑似曾发生争执 澳大利亚房价暴跌:比金融危机时还惨 炒房团遭赶走 五一旅游前10大客源城市:上海北京成都广州重庆靠前 五一假期国内旅游接待1.95亿人次 旅游收入1176.7亿 华为正与高通谈判专利和解 或将每年付5亿美元专利费 游客在同程艺龙订酒店因客满无法入住 平台:承担全责 花650万美元进斯坦福当事人母亲发声:被录取后捐的款