加载中…
个人资料
镭射财经
镭射财经
  • 博客等级:
  • 博客积分:0
  • 博客访问:14,036
  • 关注人气:1
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
正文 字体大小:

3·15晚会曝光上海氪信、招财旺旺SDK包泄露隐私后台上传联系人、交易验证码敏感信息

(2020-07-16 22:19:11)

3·15晚会曝光上海氪信、招财旺旺SDK包泄露隐私后台上传联系人、交易验证码敏感信息

来源 | 央视

7月16日,央视3·15晚会曝光国美易卡、美的空调遥控器、姨妈日历、银码头等50多款软件中内嵌的SDK包读取、上传用户隐私问题。上海氪信信息技术有限公司、北京招财旺旺信息技术有限公司开发的SDK插件,在后台读取电话号码、通讯录、短信记录、应用列表等信息的同时,上传联系人、交易验证码等数据到第三方服务器。

3·15晚会曝光上海氪信、招财旺旺SDK包泄露隐私后台上传联系人、交易验证码敏感信息

镭射财经了解到,某些手机软件里暗藏第三方公司提供的SDK包,偷偷在后台读取并上传用户信息,例如短信内容。

技术人员对50多个软件测试发现,包含上海氪信信息技术有限公司、北京招财旺旺信息技术有限公司的插件,获取IMEI、电话号码、通讯录、短信记录、应用列表等用户隐私。

3·15晚会曝光上海氪信、招财旺旺SDK包泄露隐私后台上传联系人、交易验证码敏感信息

3·15晚会曝光上海氪信、招财旺旺SDK包泄露隐私后台上传联系人、交易验证码敏感信息

读取数据只是第一步,SDK还会悄悄将信息上传到指定的服务器存储起来。上传的内容,不只是简单的IMEI信息。

镭射财经发现,北京招财旺旺信息技术有限公司开发的插件涉嫌通过菜谱,家长帮、动态壁纸等多款软件,未经用户同意收集联系人、短信、位置、设备信息等,尤其是短信内容被全部读取并上传。其中,一条国美金融发送的验证码被上传到第三方服务器。

3·15晚会曝光上海氪信、招财旺旺SDK包泄露隐私后台上传联系人、交易验证码敏感信息

检测人员介绍,SDK能够收集短信、应用安装信息、网络交易验证码,一旦被别有用心的人获取,极有可能造成严重的经济损失。

镭射财经认为,问题的严重性不止于此,SDK对所有APP均有通用性,很多手机软件可能都嵌入了同一个SDK,因此一旦某个SDK可窃取用户个人隐私,将会涉及众多手机软件,波及更多智能手机用户。

用户隐私泄露问题由来已久,2019年3·15晚会曝光不少“所谓的大数据公司”通过探针,识别用户的手机号码、教育程度、月收入、身份职业等敏感信息,从而开展精准的营销工作。

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有