南都-CFCA-常用第三方SDK 收集使用个人信息测评报告--页

常用第三方SDK收集使用个人信息测评报告南都个人信息保护研究中心中国金融认证中心（CFCA）联合发布2019年7月前言 在手机App的世界里，法规条文里所谓的“第三方应用或服务”似乎是个看得见摸不着的存在。但事实上，不管是你每天收到的新闻推送，还是促销活动广告，甚至短信验证码，都有可能出自第三方之手。 这些集成在App里的第三方工具包被称为SDK（Software Development Kit，软件开发工具包）。它们可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能，同时自身也具备获取相当一部分设备信息和用户个人信息的能力。 2018年3月，以色列移动SDK管理平台公司SafeDK发布的《安卓市场中的移动SDK数据趋势》显示，2018年第一季度，Google Play里排名靠前的16万款App中，平均每个中国开发的App会使用19.3个SDK。 从App使用SDK的普遍性来看，SDK安全无疑已经成为整个移动互联网生态中极其关键的一环。然而，SDK未经允许收集用户个人信息的行为，以及自身存在的安全漏洞，已经引发了十分严重的安全问题。 第三方广告SDK “有米”“个信”曾被发现未经允许收集用户的个人信息，使用这两款SDK的App因此被苹果应用商店和Google Play悉数下架；更甚者，有影响了300多款知名App的SDK“寄生推”通过预留的“后门”，进行恶意广告行为和应用推广。 为了进一步厘清目前市场上常用的SDK在收集、使用用户个人信息方面存在哪些问题，南都个人信息保护研究中心选择了60款用户量较大的App，并委托中国金融认证中心（CFCA）对市面上使用率较高的SDK进行了分析，希望了解SDK个获取个人信息的合规现状，引起社会对SDK安全风险的重视，促进政府监管和行业自律。目录1一、测评方法 2（一）测评对象 2（二）样本采集 21. 采集方法 22. 采集时间 2二、测评结果 3（一）总体情况 31. SDK使用个数和类别 42. 信息收集 53. 必要性分析 7（二）SDK集中分析 91. 系统权限 92. 向服务器上送信息 10三、结论 111. 使用最广泛的SDK多来自头部互联网公司 112. 多个SDK获取个人敏感数据，App却未告知用户 113. 有SDK或存在隐瞒收集用户个人信息的情况 11四、声明与保留 12一、测评方法（一）测评对象 本次测评根据App所提供的服务与人们生活的相关度，综合用户量和使用频率等因素，选取了社交交友、生活服务、休闲娱乐、购物导购、旅游交通、移动金融六大行业的60款App，每个行业10款。 测评对象的选择主要是通过统计60款App集成的SDK个数和调用次数，并对App使用最广泛的SDK进行系统权限、实际行为、上送信息等方面的分析。 （二）样本采集 1. 采集方法 本次测评从官方网站、应用宝下载60款App的APK安装包和SDK官方文档，采用逆向分析、抓包、函数挂钩等技术手段进行分析。 值得注意的是，在建立SDK对照库时，我们删去了纯粹为辅助开发、不涉及用户个人信息的第三方开发框架代码。另外，由于有的APK安装包采用了加固、混淆等手段，SDK对照库不一定包含了市面上所有SDK，因此本报告中App使用的SDK个数并非精确结果，报告仅对主流的SDK及其官方文档作出分析和判断。 2. 采集时间 本次测评的采集时间为 2019年4月，测试时间为2019年6月至7月。上述取证时间之外的修改不计入本次测评结果。 对于单个App，我们还进行了时间为5-30分钟不等的逐个检测，并记录下对应的SDK行为。2 1. SDK使用个数和类别 经过分析，60款App共使用了至少966个SDK，平均每款App使用19.3个（注：移动金融类未计在内，因为该行业普遍对App进行加固，难以确切检测出使用的SDK）。图一：各行业App使用SDK数量 其中生活服务类App平均使用的SDK个数最多，为20.2个，旅游交通类最少，平均使用15.4个SDK。 二、测评结果（一）总体情况3 在实际使用中，消息推送类SDK被调用得最多——60款App一共调用了高达264个，远远超过其他任何类别。此外，综合类、辅助开发类SDK也被调用了上百次。 去掉重复项后，60款App共使用了至少113个不同的SDK。其中微信SDK被最多App使用，共47款App；其次是腾讯Open和小米推送SDK，分别有41款App和40款App使用。 除了上述三个SDK，还有四...