作恶“三重门”:违规搜集、留后门与黑产。
文 | 新经济沸点 郭娟
央视315晚会终于在716播出。
节目曝光了九个问题:“敌敌畏海参”“过期汉堡王”事关饮食安全;“美容和教育消费”“装修黑洞”“神车”等,让“坑”里的消费者损失财产。
在消费这件事上,买家永远是弱势群体,所以中国消费者协会才会设置315,央视才会在每年的这天播出一档重磅调查性节目,以警醒消费者提高维权意识,也震慑无良商家。
因为长期关注科技互联网的内容,我今年特别留意节目中“暗藏玄机的SDK”一段。
直播过程中,比节目更精彩的现象出现了,观众留言区涌进大量的P2P受害者,他们的诉求基本上是要求“央视彻查各种网贷平台”。
在央视315曝光的54款问题APP中,除了几款功能性软件外,的确有很多都是没听说过的网贷平台:国美易卡、美期分期、九秒贷、够范分期、麦芽贷、栗子借款、趣花呗、我享借、乐享宝、融小鱼……
SDK的“助纣为虐”,体现了大数据时代的“技术黑箱”现象。
“黑箱”为控制论中的概念,意为在认知上,主体对内部情况的全然不知,如果当技术成为普通人认知的鸿沟,在有效监管缺失的前提下,技术黑箱对人造成压迫,而人却无力还击。
但正本清源,SDK原本可以向善。
1
SDK是软件开发中常用的一项技术,全称为Software Development Kit,也就是软件开发工具包。
它把软件开发中比较复杂,或者研发成本比较高的功能专门做成半成品工具包,开发软件的公司只要买来这些工具包,稍做加工就可以使用这项功能了。
这操作好比做菜的家庭主妇,买来半成品,只需加热就能上桌这么简单。
很多小规模的公司,由于开发能力不够,资金不充足,就会买第三方的SDK工具包来完善自己的APP功能,久而久之,SDK成为软件开发的一环,有它长期存在的理由。
目前最常使用的SDK包括广告推送、弹窗、地图导航、语音识别、第三方登陆、第三方支付等等。
这些功能都需要读取手机用户的相应信息,按照我们的相关规定,都需征得“用户授权”,但,如果SDK公司超出约定的功能范围,随意搜集,就向作恶迈出了第一步。
2015年10月,一款名为“有米”的第三方广告SDK被发现收集了用户的个人身份信息,包括Apple ID邮件地址、设备识别码,以及安装在手机上的App列表信息。最后,使用有米SDK的256款App被苹果应用商店下架。
更有SDK开发者会故意预留“后门”,以便收集用户信息或执行越权操作,这它作恶的第二条路径。
2017年8月,同样是第三方广告SDK的“个信”被发现内置后门,在未经用户允许的情况下收集用户隐私数据,获取用户设备中全部已经安装App列表。嵌入该SDK的500多款App的总下载量超过1亿次,最终全部被Google Play下架。
2
2020年的央视315晚会上,“暗藏玄机的SDK”讲述了2019年11月,上海市消费者权益保护委员会委托第三方公司对一些手机软件中的SDK插件进行了专门的测试。
技术人员在检测的50几款问题APP中发现,这些软件的SDK“会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息。”
他们分别用了两家企业SDK套件:一家叫上海氪信信息技术有限公司,另一家叫做北京招彩旺旺信息技术有限公司。
这些信息都是在不经用户允许的前提下,悄悄搜集,上传至网络。
被搜集的信息有多重要?以IMEI号为例,它好比一部手机的“指纹”,像每个人的身份证号;短信记录的截取,比较危险的一个场景为“验证码”,一旦验证码落入不法分子的手里,许多账号密码都形同虚设。
更为危险的是,当多款APP同时使用一个SDK,使SDK更便于整合各APP的数据孤岛。
例如,一个人在手机上进行的银行卡转账、支付宝付款、微信支付、电商平台购物……这些信息如果被整合,能很好地反应他的收支情况,作恶的SDK公司将这样的信息信息打包,售卖给一些金融机构,将成为他们放贷的依据。
央视曝光的氪信,成立于2015年,在可以查阅的公开宣传中,这家公司以“智能风控、智能营销、智能运营”为卖点,常年服务于金融机构。
司库财经报道更进一步佐证:“工商银行、建设银行、交通银行、国美易卡等传统企业,都使用或曾经使用氪信旗下产品,来解决线上获客、实时信审、智能化运营的难题。”
央视曝光氪信的问题后,国美易卡发表申明,与氪信的合作,终止于2020年1月,而氪信自己也回应:2019年年底,就终止了SDK业务。
但这件事不应该止于回应“停止业务这样简单”,因为这些操作,氪信这几年获取的用户信息、以及依据其上获取的暴利应该深入追究。
它利用“技术黑洞”滥用隐私,这样的事的背后也有足够的动力,比氪信们为金融机构提供“智能风控”更甚的,是网络黑产。
在数据黑产市场,身份证、姓名、位置、工资收入、消费能力等个人敏感数据,都为高价值信息。
依据创业邦的报道,“早在2017年,中国黑产的从业人员就已经达到了百万级以上,每年造成的损失达千亿元级规模。”
“暴利下,黑产成为一个灰色地带,也有内部分工,上游为信息供货,中游负责信息处理与加工,下游则是应用变现。”
黑产,是SDK作恶的第三条路径,它与网络爬虫一样,借助技术优势,秒杀那些内部数据泄露者,成为黑产上游的“优质”参与者。
信息安全领域,法律法规的监管总是滞后,这是每一个国家都存在的现象,从这个角度看,SDK要停止作恶,也依靠软件厂商自觉。
与此同时,消费者的隐私防范也应该引起重视:苹果应用商店、Google Play都对APP的准入比较严格,大厂开发的APP也应该是可信度较高的软件。
(本文由新经济沸点郭娟采写,未经授权,请勿转载。)
原创文章,作者:天骄,未经授权,请勿转载。新经济沸点优质内容同步到虎嗅、钛媒体、36KR、21财经、亿邦动力、创业邦、和讯网、新浪看点、微博、搜狐、网易、一点资讯、百度百家、今日头条等平台。