多款金融贷款APP暗藏窃贼SDK 用户各种信息甚至短信验证码都被传走
昨日晚间央视举办的315晚会曝光上海氪信信息技术有限公司与北京招彩旺旺信息技术有限公司的窃贼SDK插件。
上述公司提供的SDK插件被多款金融贷款类APP使用,而背地里这些SDK插件却未经用户同意偷偷上传多种数据。
上海市消费者权益保护委员会测试发现,甚至连用户收到的短信和验证码信息都会被这些插件直接传到服务器上。
涉及的贷款应用包括国美旗下的国美金融,蓝点网查询发现氪信主要提供风控业务,而风控就需要大量用户数据。
氪信信息为金融贷款公司提供风险控制和信用评级业务,但前提是这些公司需要部署氪信信息提供的开发工具包。
这种开发工具包随金融贷款APP安装在用户设备上,随后便开始未经用户同意自动搜寻和上传用户大量隐私内容。
包括设备的IMEI串号、运营商信息、电话号码、通话记录、短信内容 , 已安装的应用列表以及传感器相关数据等。
也就是说用户实际安装这类金融贷款应用后就已经不存在隐私,因为用户的所有内容都被氪信信息悄悄收集上传。
国美金融已经在昨日晚间发布声明表示对此不知情并且已经停止与氪信的合作,要说甩锅当然是要最快速度甩开。
然而氪信主要提供风控业务,国美金融表示对此事不知情怕是很难让人相信,毕竟金融贷款类最重要的就是风控。
氪信信息也在官网发布声明进行甩锅,该公司表示SDK是常用技术,经评估有滥用风险已经停止完全停用该技术。
为什么说也是甩锅呢?因为SDK只是开发工具包是常用技术但非通用技术,SDK好坏完全在于开发商怎么去开发。
所以氪信信息直接甩锅好像说的跟所有SDK都是坏的跟他们没关系,况且收集信息也是氪信收集的又不是第三方。
测试显示招彩旺旺公司开发的插件甚至会藏在菜谱、动态壁纸等多款常见APP里,利用这些APP窃取用户的信息。
用户安装后实际上没有任何隐私提示就会被偷走信息,被偷走的用户信息则多数被出卖进行各种类型的广告营销。
检测人员表示这类插件的危害相当高,一旦有用户的网络交易验证码被窃取,就有可能遭受金钱财产方面的损失。
招彩旺旺信息公司倒是没有甩锅,这家公司直接把公司官方网站的解析停掉,估计是准备等风声小点再出来活动。