二十八人被判刑!利用SDK窃取用户信息、控制用户手机
陈拾九移动支付网2020/8/18 9:15:07

你或许清楚自己的手机里装了多少个App,也知道App在收集你的个人信息。但你或许不知道,你的信息还可能同时被隐藏起来的SDK收集,甚至有人通过SDK在控制你的手机。

嘉兴中级人民法院就判了一件这样的案子,主犯欧阳通过广告SDK获取系统权限窃取用户信息,控制用户的手机获得广告收入。调查显示,主犯欧阳通过SDK获取了上千万条用户个人信息,短短两年时间获利超过两千万。

研发广州SDK控制手机

两年获利两千万

2015年,北京出现了一个不起眼的团队,员工只有二十多位,为首的就是欧阳。这个团队默默无闻,产品从不为大众所知,却在两年时间里达到营收3000万人民币。这个团队的产品就是广告SDK。

SDK是Software Development Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合,几乎所有的手机App都会使用SDK。

今年315晚会点名曝光了第三方开发的SDK违规收集用户个人信息的情况,被点名的公司通过嵌入到App的SDK收集用户手机号码、设备信息、手机通讯录、短信信息、传感器信息等用户隐私信息,并发送至指定服务器进行存储。

App是SDK的主要载体,如果用户不下载App,SDK很难单独进入用户的手机。也就是说,如果App安装量不够高,SDK无法普及,通过SDK获利自然无从谈起。

能不能绕开App直接将SDK安装进手机当中呢?欧阳找到了办法,他另辟蹊径,联系到了手机方案商、中间商、手机厂商(三者以下统称为手机商)。

经过协商,由欧阳的团队提供广告SDK工具包,手机商将广告SDK工具包预装到手机系统中,并使广告SDK获取系统权限,欧阳则根据存活率按安装台数或以广告费收入分成的方式向手机商支付费用。

装有广告SDK的手机在用户首次开机联网时,广告SDK即通过互联网与后台服务器连接,在用户不知情的情况下向后台服务器上传imei、imsi等用户信息,并自动更新广告SDK版本等,根据与手机商达成的运营方案通过服务端对推送方式、内容及频率等进行配置,向用户推送商业性电子信息,从而产生广告费收入。

2016年,为了推广微信公众号,欧阳团队又研发了新产品。利用广告SDK的静默安装功能自动下载并安装“一键达apk”,“一键达apk”在用户点击推送的文章或新闻后自动下载公众号二维码图片。

利用手机辅助功能模拟用户操作,使用户微信自动识别下载的二维码图片,关注特定的公众号,并定期自动清理相册中的二维码图片。

在警方调查中发现,在欧阳团队内网服务器内含有大量用户微信信息,数据库字段有微信号、性别、名字、区域、微信状态等,User集合含有生日、好友数量、国家、职业、用户手机号、微信昵称、性别、imsi号、imei号、mac地址等信息。mmUserInfo集合共有2569222条记录,去重后的微信号总数为1303469个,User集合共有11892848条记录,去重后imei号共计8200909个。

短短两年时间,该团队通过SDK获得违法所得就已经超过3000万,与其合作的手机商收入多则470余万,少则390余万。

法院:犯非法控制计算机系统罪

2017年9月,欧阳团队28人被捕,经过一审和上诉,嘉兴市中级人民法院做出了终审裁定。

法院认为无论广告SDK还是“一键达apk”的预装,均未经用户允许,二者的运行亦未取得用户授权。此举违反了《中华人民共和国计算机信息系统安全保护条例》及《全国人大常委会关于加强网络信息保护的决定》的相关规定,触犯刑法第二百八十五条:

刑法第二百八十五条

欧阳犯非法控制计算机信息系统罪,判处有期徒刑四年六个月,其他27名从犯判有期徒刑十个月至两年八个月不等。

根据《网络安全法》第四十三条、第四十四条规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。

《网络安全法》第四十三条、第四十四条

《网络安全法》第六十九条规定,违反四十三条、第四十四条,可处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。

《网络安全法》第四十三条、第四十四条

欧阳团队所属公司虽然没有出现在法院裁决当中,但从《网络安全法》相关条款来看,其公司一样要负法律责任。

工信部发文整治SDK乱象

纵深推进App专项整治

工信部日前发布《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》。《通知》显示,2020年8月底前上线运行全国App技术检测平台管理系统,12月10日前完成覆盖40万款主流App检测工作。

重点整治任务包括:

1.违规收集个人信息。重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意,私自收集用户个人信息的行为。

2.超范围收集个人信息。重点整治App、SDK非服务所必需或无合理应用场景,特别是在静默状态下或在后台运行时,超范围收集个人信息的行为。

3.违规使用个人信息。重点整治App、SDK未向用户告知且未经用户同意,私自使用个人信息,将用户个人信息用于其提供服务之外的目的,特别是私自向其他应用或服务器发送、共享用户个人信息的行为。

4.强制用户使用定向推送功能。重点整治App、SDK未以显著方式标示且未经用户同意,将收集到的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或广告精准营销,且未提供关闭该功能选项的行为。

《通知》中清晰的表示,各企业不得存有侥幸心理和“过关”思维,切勿试探监管底线、触碰监管红线、低估监管意志。

移动互联网不再是以前那个草莽的时代。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消