360打造SDK安全检测平台 破解隐私窃取监管难题

本篇文章1478字，读完约4分钟

7月16日，在推迟了4个月的“3·15”晚会上，央视曝光了在国美易卡(Gome Easy Card)和麦芽贷款(Malt Loan)等50多个应用中嵌入sdk插件窃取用户隐私的问题。这些应用程序通过了内置的sdk插件。在用户不知情的情况下，读取和上传用户的电话号码、地址簿、短信记录、应用列表等信息，窃取联系人和交易验证码等数据，严重侵犯了用户的隐私权和财产安全。令人担忧的是，在360名安全专家看来，非法收集和存储用户隐私只是sdk安全风险的冰山一角。

“sdk有两个主要的安全风险。一是非法阅读和存储新闻中提到的用户隐私。此外，由于技术原因或恶意的“后门”，sdk本身可能存在大量漏洞。当这些漏洞受到攻击时，可能会给用户带来严重损失。”根据360名安全专家的说法，在当今这个快速便捷的时代，大量的软件开发团队将在软件中嵌入第三方软件开发工具包，以节省开发成本和开发时间。这些sdk插件不仅有助于主机应用程序优化其运行效率，还能获取大量设备信息和用户个人信息。

据统计，目前超过50%的应用使用第三方软件开发工具包，各种应用平均使用10多个第三方软件开发工具包，第三方软件开发工具包功能多样。因此，sdk数据收集行为的管理需要加码。

360集团首席安全官杜跃进在接受央视记者采访时表示，普通用户通过sdk收集数据的手段相当有限，主要依靠监管管理和移动应用开发商的合规自查。

近年来，网络信息办、工业和信息化部、公安部等相关部门多次开展个人信息保护和整改行动；去年12月，国家网络信息办公室发布了《应用收集和使用个人信息违法违规行为认定办法》，强化了用户的知情权和决定权；针对央视“3·15”晚会7月16日报道的深发展涉嫌非法收集用户个人信息的问题，工信部还要求在第一时间组织相关单位进行严肃核实，并依法严肃查处涉案企业。

监管努力只是一个方面，应用开发商和提供商也应该进行严格的自我检查。然而，面对海量的应用和复杂的sdk功能，监管和自我检查都存在“数量多”、“路径复杂”、“技术门槛高”等门槛。在这方面，360天宇团队创建了“360天宇sdk安全测试平台”和“个人信息采集合规测试平台”，解决了监管和开发商自检的问题。

监管机构和应用平台可以使用360天sdk安全检测平台和个人信息收集合规检测平台，对大规模移动应用进行批量审查和检测。当面临大量重复性任务或任务时，批量自动化检测流程可以帮助监管机构和应用平台有效节省时间和人力成本。

同时，360天sdk安全测试平台将专业测试能力和经验封装为一个通用工具，大大降低了安全测试和合规性测试的技术门槛，使没有专业背景的管理者能够进行深入测试。近年来，360天皇家团队利用该平台为公安部、工业和信息化部、国家病毒中心等政府部门和机构提供相关技术支持。

在协助监管的同时，移动应用开发商还可以利用360天sdk安全检测平台和个人信息采集合规检测平台，在上线前进行全面的安全自检和合规自检。通过安全检查服务，对应用程序本身的潜在风险进行筛选，并根据检查报告提供的专业整改意见进行修改，以确保应用程序上线后不会被非法破解或利用。同时，根据《应用程序违法违规收集和使用个人信息行为认定办法》等相关标准，核实应用程序中是否存在违法行为，确保应用程序上线后不存在隐私泄露等违法现象。

“我们希望发挥360在网络安全行业的领导作用，有效地帮助监管机构和开发商保护用户的隐私和安全。”360安全专家表示，除了“360 sdk安全检测平台”和“个人信息收集合规检测平台”，360还将通过360移动卫士保护C端用户的隐私。

来源：搜狐微门户