多款金融贷款APP暗藏窃贼SDK 用户各种信息甚至短信验证码都被传走

昨日晚间央视举办的315晚会曝光上海氪信信息技术有限公司与北京招彩旺旺信息技术有限公司的窃贼SDK插件。

上述公司提供的SDK插件被多款金融贷款类APP使用,而背地里这些SDK插件却未经用户同意偷偷上传多种数据。

上海市消费者权益保护委员会测试发现,甚至连用户收到的短信和验证码信息都会被这些插件直接传到服务器上。

涉及的贷款应用包括国美旗下的国美金融,蓝点网查询发现氪信主要提供风控业务,而风控就需要大量用户数据。

多款金融带宽APP暗藏窃贼SDK 用户各种信息甚至短信验证码都被传走

氪信信息提供的SDK:

氪信信息为金融贷款公司提供风险控制和信用评级业务,但前提是这些公司需要部署氪信信息提供的开发工具包。

这种开发工具包随金融贷款APP安装在用户设备上,随后便开始未经用户同意自动搜寻和上传用户大量隐私内容。

包括设备的IMEI串号、运营商信息、电话号码、通话记录、短信内容 , 已安装的应用列表以及传感器相关数据等。

也就是说用户实际安装这类金融贷款应用后就已经不存在隐私,因为用户的所有内容都被氪信信息悄悄收集上传。

国美金融和氪信信息都不准备认错:

国美金融已经在昨日晚间发布声明表示对此不知情并且已经停止与氪信的合作,要说甩锅当然是要最快速度甩开。

然而氪信主要提供风控业务,国美金融表示对此事不知情怕是很难让人相信,毕竟金融贷款类最重要的就是风控。

氪信信息也在官网发布声明进行甩锅,该公司表示SDK是常用技术,经评估有滥用风险已经停止完全停用该技术。

为什么说也是甩锅呢?因为SDK只是开发工具包是常用技术但非通用技术,SDK好坏完全在于开发商怎么去开发。

所以氪信信息直接甩锅好像说的跟所有SDK都是坏的跟他们没关系,况且收集信息也是氪信收集的又不是第三方。

招彩旺旺利用多款常用APP收集信息:

测试显示招彩旺旺公司开发的插件甚至会藏在菜谱、动态壁纸等多款常见APP里,利用这些APP窃取用户的信息。

用户安装后实际上没有任何隐私提示就会被偷走信息,被偷走的用户信息则多数被出卖进行各种类型的广告营销。

检测人员表示这类插件的危害相当高,一旦有用户的网络交易验证码被窃取,就有可能遭受金钱财产方面的损失。

招彩旺旺信息公司倒是没有甩锅,这家公司直接把公司官方网站的解析停掉,估计是准备等风声小点再出来活动。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
topgamer木头科学二百五
扫码关注蓝点网微信公众号

评论:

2 条评论,访客:2 条,站长:0 条
  1. rfg2
    rfg2发布于: 
    Internet Explorer 11.0 Internet Explorer 11.0 Windows 10 64位版 Windows 10 64位版

    国产APP,尤其是安卓APP,已经到了不要脸的地步了。没有通讯录和通话权限,直接就不让启动。举个例子,导航软件你要访问通讯录和照片的目的是什么呢,会影响到定位、还是路径规划呢?按照今年315晚会,不能启动的还算是仗义的,更可耻的是后台偷偷摸摸上传数据的。现在既然国家已经有立法和相关配套管理制度,为啥不严惩。期待严管~~~

    • bakura1
      bakura1发布于: 
      Google Chrome 83.0.4103.116 Google Chrome 83.0.4103.116 Windows 7 64位版 Windows 7 64位版

      315只是拿来提醒这些奸商该充会员了而已,别拿它公布的当回事,国产的app基本上没一个是干净的,全部都要超级多权限。

发表评论