一、小白剧场
小白:东哥,现在手机上的App功能好强大啊,干什么的都有!听音乐、看电影、p图,真是太方便了!
大东:功能是挺多,但是小白,你一定要下载正版软件哦,未知的第三方软件危险可是大大的呢!
小白:不就是一个App吗?我就看看功能,不好用我就卸载,或者不打开它不就完事了?
大东:嘿嘿,那你就太小瞧攻击者了。尽管你不打开App,恶意软件仍然可以监听并窃取你的信息。
二、话说事件
大东:SDK的全名是“Software Development Kit”,中文名叫“软件开发工具包”,是一套开发工具集合。它可以为特定的软件包、应用软件、软件框架、硬件平台、操作系统等产品提供服务。简单来说,就是一个第三方开发的工具包,帮助实现某些功能,具有读取、存储、传输数据等能力。不法分子利用SDK读取受害者手机里的信息,并将这些隐私信息传输至指定的服务器,以便开展下一步犯罪活动。
主要包括手机设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息等。
三、大话始末
大东:2020年的3·15晚会,曝光了SDK违规收集用户信息的问题。晚会曝光了氪信SDK,通过嵌入App,收集用户数据,同时也曝光了一些窃取用户信息的危险App。会上还基于这种SDK窃取用户信息的方法,分析了App集成SDK的频率数据,发现按照App集成的SDK类别划分,消息推送类SDK最多,综合类和辅助开发类其次。
四、小白内心说
小白:东哥,那我们应该具体采取怎样的防范措施,才能避免被恶意窃取信息呢?大东:首要问题就是权限问题,我们下载一个App后,一定要慎重授权!一般安装APP时,都会提示给予授权,此时务必慎重、慎重、再慎重!如果授权范围明显超出了软件的使用功能,就需要留心。比如你下载美颜软件,但它需要获取录音、短信、通信录等功能,就属于明显超越授权范围,十有八九有猫腻。
可以进入“设置→隐私”,能看到定位服务、通讯录、日历、照片等授权情况,点击某一类别就可以管理权限。还有一条很重要,就是一定要去正规渠道下载APP。对于一些无法通过正规渠道提供下载的APP,其本身就存在较大的安全风险。定期检查手机APP的授权情况很有必要,可以避免因手滑造成的过度授权或其他不明原因引发的过度授权。另外,通过检查手机的耗电量情况也可以初步判断APP是否在偷偷运作。
如果某款APP的使用频率与其耗电量不匹配,那么该APP就非常可疑。