360天御打造“一站式安檢”方案

7月16日，央視曝光了50餘款App中內嵌SDK插件竊取用户隱私的問題，這些App通過內置SDK插件，在用户不知情的情況下，讀取、上傳用户電話號碼、通訊錄、短信記錄、應用列表等信息，並竊取聯繫人、交易驗證碼等數據，嚴重侵犯用户隱私權益、財產安全。令人憂心的是，在360安全專家看來，違規採集、存儲用户隱私，只是SDK安全隱患的“冰山一角”。

“SDK的安全風險主要有兩方面，一是新聞中所提到的違規讀取和儲存用户隱私。此外，SDK自身也可能因為技術原因或惡意‘留後門’而存在大量漏洞，當這些漏洞被攻擊，就可能會給用户帶來嚴重損失。”360安全專家介紹，在如今快速便捷的時代要求下，大量軟件開發團隊都會在軟件裏嵌入第三方SDK，以便節約開發成本與開發時間。這些SDK插件在幫助宿主App 優化運營效率的同時，也獲取了海量的設備信息和用户個人信息。

有數據顯示，當前，有超過50%App使用第三方SDK，各類App平均使用10+個第三方SDK，且第三方SDK功能多樣化。因此，對SDK數據採集行為的管理亟待加碼。

360集團首席安全官杜躍進在接受央視記者採訪時表示，對於SDK採集數據的行為，普通用户個人能夠採取的應對措施相當有限，主要還是要依靠監管層面的管理、移動應用開發者的合規性自查。

近年來，相關部門多次開展個人信息保護整治行動；去年12月，國家網信辦出台《App違法違規收集使用個人信息行為認定方法》，強化用户的知情權和決定權；針對在7月16日央視“3·15”晚會報道的SDK涉嫌違規收集用户個人信息的問題，工信部也要求第一時間組織相關單位進行認真核查，依法依規嚴厲查處涉事企業。

監管發力只是一方面，App的開發者和提供商也應當嚴格自查。但是，面對海量App和複雜的SDK功能，無論是監管還是自查都就存在“量大”、“路徑複雜”、“技術門檻較高”等門檻。對此，360天御團隊打造了“360天御SDK安全檢測平台”與“個人信息收集合規檢測平台”，針對性解決了監管和開發者自檢難題。

監管機構與應用平台可使用360天御SDK安全檢測平台和個人信息收集合規檢測平台，對海量的移動應用進行批量審查、檢測。批量自動化檢測流程，在面對大量重複性工作或任務時，能有助於監管機構與應用平台有效節約時間和人力成本。

同時，360天御SDK安全檢測平台將專業檢測能力與經驗封裝為普適性工具，也大大降低安全檢測與合規檢測的技術門檻，使無專業背景的管理人員也可進行深度檢測。

助力監管的同時，移動應用開發者也可利用360天御SDK安全檢測平台和個人信息收集合規檢測平台，進行全面的安全自檢與上線前的合規自檢。通過安全檢測服務，篩查應用自身可能存在風險，基於檢測報告提供的專業整改意見進行修改，保證應用上線後無法被非法破解或利用。同時，基於《App違法違規收集使用個人信息行為認定辦法》等相關標準，驗證應用是否存在違法違規行為，確定應用上線後不存在隱私泄露等違規現象。

“我們希望能發揮360的網絡安全行業龍頭作用，有效幫助監管部門與廣大開發者做好用户隱私安全的保護。”360安全專家表示，除了“360 SDK安全檢測平台”與“個人信息收集合規檢測平台”，360還將通過360手機衞士守護好C端用户的隱私安全。