常用第三方SDK收集个人信息测评报告
摘要:
本报告对常用第三方SDK收集个人信息的测评进行了研究,研究了社交交友、生活服务、休闲娱乐、购物导购、旅游交通、移动金融六大行业的60款App使用的SDK。通过采用逆向分析、抓包、函数挂钩等技术手段对SDK相关代码及官方文档进行分析,得出平均每款App使用19.3个SDK,电话、定位、录音等个人信息被SDK获取,多来自头部互联网公司。多个SDK获取个人敏感信息,但部分App并未告知用户有SDK或存在隐瞒收集、未加密上传用户个人信息的情况。结论是,SDK收集个人信息的必要性不容忽视,应严格遵循“知情同意”原则,并在隐私政策中明确告知用户。
一、SDK是什么?
SDK是Software Development Kit的缩写,是一种辅助开发某一类应用软件的相关文档、范例和工具的集合,帮助App高效率、低成本地实现地图、支付、统计、社交、广告等功能,同时其自身具备获取部分设备信息和用户个人信息的能力。
二、测评过程和方法
本报告对60款App使用的SDK进行了测评,采用逆向分析、抓包、函数挂钩等技术手段对SDK相关代码及官方文档进行分析。具体测评过程如下:
1.社交交友、生活服务、休闲娱乐、购物导购、旅游交通、移动金融六大行业的60款App使用的SDK。
2.逐一测评60款App,并采用逆向分析、抓包、函数挂钩等技术手段对SDK相关代码及官方文档进行分析。
3.统计分析,得出平均每款App使用19.3个SDK。
4.电话、定位、录音等个人信息被SDK获取,获取IMEI、IMSI等手机设备信息:150个SDK;获取Wi-Fi连接信息(IP地址、MAC地址、SSID):35+个SDK;获取用户行为信息(锁屏、安装/升级/卸载App):10个SDK;个人信息:电话号码:支付宝SDK;地理位置:百度昊天SDK、TalkingDataSDK、高德地图SDK、腾讯地图SDK、字节跳动SDK、友盟SDK;录音:讯飞SDK、声网SDK。
三、测评结果与分析
通过测评分析,发现多款App使用的SDK在SDK申请的系统权限最多,共有14项,其他SDK在10项以下。其中,TalkingData、友盟、Ping++三个SDK超出官方声明范围收集个人信息;使用最广泛的SDK多来自头部互联网公司。
四、结论
根据本报告的测评分析,SDK收集个人信息的必要性不容忽视,应严格遵循“知情同意”原则,并在隐私政策中明确告知用户。同时,鼓励SDK提供商加强自我监管,以提高SDK的安全性。
