315爆光的WiFi探针算什么,你的所有信息这里都有

序言

本篇文章与每一个人都息息相关，在数据特别是个人信息有关的数据成为比石油还贵的资产的今天，您可能不知道您所有富有价值个人信息正在被偷偷地收集并且集中，我们每个人，正在互联网的世界里“裸奔”。

为了曝光这一现象的严重性、为了让我们的个人隐私得到切实保护，赛博星人结合大量数据安全项目的经验，请技术小伙伴展开对APP后台数据收集及传输的检测、请律师小伙伴展开对个人信息保护的法律合规分析，全面、综合地展现个人信息被收取的乱象。

如上所述，这篇文章与正在阅读的您息息相关。因此，为了令每一个读者，无论是安全技术的专家，还是不熟悉安全技术的小白，都能对这一情况有更加直观的理解，我们准备了一组漫画及大量的图片说明，形象地展现有关情况；之后，再通过专业的安全技术及法律分析，对APP后台数据收集、传输的违规性进行充分展现。

本篇文章的主要内容：

• 引子——3.15晚会曝光的Wifi探针与它比起来，《巨额来电》里贩卖个人信息的“菜商”与它比起来，根本不算什么

• 小故事——某白领的一天，他的所有个人信息都被收集并且暗中整合到一起了

• 什么是SDK，它如何收集及侵害您的个人信息

• 技术检测——您在使用的一个普通APP，它被嵌入了多少第三方SDK

• 技术检测——第三方SDK在收集我的什么个人信息

• “第三方SDK”的“三宗罪”

• 在数据资产化及数据流通的大潮下，如何更好并且切实做到对个人信息的保护

---

引子

315晚会曝光的探针跟它比起来
根本不算什么

今年的3.15晚会上曝光了这一现象，不法商家会通过在商场等人流密集处安装一种叫Wifi探针盒子的设备，获取周边人群手机的MAC地址，然后通过一系列第三方数据交叉匹配，获得其手机号码；好一点的，这些号码随即被卖给有关行业的营销中心，用于电话营销之用；坏一点的，可能会用于电信诈骗。

Wifi探针的整个工作链条虽然是违法的，即在没有得到消费者明确授权的情况下，通过Wifi探针关联到用户的个人信息，而后将手机号码售卖予第三方。然而，仅仅得到一个真实的手机号码又有什么作用？真的会对消费者产生伤害吗？只有同时拿到手机机主的姓名、性别、年龄、收入、爱好、健康状况、行踪等详细信息，实现“大数据下的精准营销”才能产生价值、对用户造成真正的伤害。

因此，对于缺乏相关技术背景、不了解个人信息数据市场乱象的普通大众，通过315晚会的曝光只记住了Wifi探针和拨号机器人，却并不了解现象背后的本质及核心到底是什么。其中，Wifi探针作为获取数据的黑手，更是被视为洪水猛兽，受到各方抨击。然而，个人信息数据被大量收集与滥用，个人隐私被不停侵害，罪魁祸首并不是Wifi探针。

是什么导致我们的信息频频被泄露？是什么让每个人的隐私在互联网世界里“裸奔”？究竟是谁在黑暗里向每一位公民伸出了窃取隐私之手？今天，我们将为您拨开迷雾，带您走进个人隐私被滥用的“真相”。

《巨额来电》里贩卖的个人信息的“菜商”与它相比，根本不算什么

就在码这几段文字的时候，我的手机由9:55至10:22之间，接到3个“善意的营销电话”，号码分别是0967***3847、9521**09、952**508。分别是某楼盘、某某理财中心、某某所谓金融授信中心向我发出购买房产、购买理财产品、贷款的“邀请”。其中一个电话讲出了我的姓名，而另外两个没有。

这种完全不掌握我的个人信息、没有把握准我是否刚好需要他们的产品的企业，注定是会“营销”失败的！他们根本不知道现在唯一的银行卡里只有800多块人民币的可用余额，他们也根本不知道我从来没买过理财产品！

看过桂纶美主演的《巨额来电》这部电影的同学，一定记得桂纶美如何在5分钟时间内通过电话诈骗到4万元的那场戏。那场诈骗最核心的成功关键，在于它通过“菜商”（贩卖他人个人信息的不法分子）掌握了受害者的准确个人信息‍——

“细节一定要真实准确，客户资料里有”！

电影《巨额来电》截图，侵删

所以，3.15曝光的Wifi探针并不可怕，它与我们的个人隐私（个人信息）被不停地收集及侵害几乎无关，因为它并不能直接获取到我们的个人信息。造成公民在互联网上“裸奔”的罪魁祸首其实是我们今天要专门揭露及讨论的第三方SDK！它才是能够直接、实时收集到我们的个人信息，并且将个人信息进行集中的罪魁祸首。只有精确、精准的个人信息，才能造成个人隐私泄露及个人利益被侵害的情况发生。

另外，在现今互联网无处不在、第三方SDK无处不用的背景下，《巨额来电》里一次可以提供100多份个人信息的“菜商”与第三方SDK比起来，简直就是幼儿园的小朋友水平。且看我们继续给您详细分析。

2. 小故事

某白领的一天，他所有的个人信息都被
收集并暗中整合到一起了

现如今，我们的生活因为与互联网已经密不可分，所以，就如上面的漫画展示的一样，我们的个人信息几乎已经存储在所使用的各类APP/网站的运营商手里了。只是正常情况下它是支离破碎的，每个APP/网站/平台的运营商手里只握有一个小小的碎片，而且我们也一直以为是这样的，所以我们也很放心。与此同时，监管或者执法机构也因此主要是针对每一个APP/网站/平台进行逐一的、单一地整治。保护个人隐私的关键也许就在于，如何将这些碎片保持在各个APP/网站/平台的运营商手中，而不是集中复制成完整的一份。

然而，However，しかし，Cependant，그러나，Jedoch，您们所未意识到的，第三方SDK改变了这一切。它令我们的个人信息全部集中到一起，它，第一次拥有了我们每一个人的“全景”信息，这才是最可怕的：

3. 什么是SDK，它如何收集及侵害您的个人信息？

SDK即“软件开发工具包”（外语全称：Software Development Kit），简单一点的说，就是把一些软件功能标准化地开发好，令到其它软件/APP可以马上即插即用并且拥有这个SDK所具备的标准化功能。再简单地点说，SDK提供的功能就好比超市里做好的半成品熟食，拿回家切一切就能吃了。在软件开发中，这些“熟食”既是通过SDK实现的模块或者插件。在现今一切都要快、都要敏捷的要求下，大量软件开发团队都在自己开发的软件/APP里借用了第三方提供的SDK，以便节约大量的开发成本与开发时间。

然而，However，しかし，Cependant，그러나，Jedoch，在与个人信息有关的数据成为比石油还贵的资产的今天，SDK这种原先仅仅用来提供一些标准化即插即用功能的技术，却被赋予了“特殊的使命”。

一些公司开发了免费的SDK供其它APP/网站使用，由现在开始，我们把它亲切地称呼为“第三方SDK”。这些“第三方SDK”功能完善，被嵌入了过百万的APP/网站，“第三方SDK”通过它所嵌入的过百万APP/网站，收集使用这些APP/网站的个人用户的个人信息，从而实现由不同类别APP/网站收集我们的个人信息碎片，改变了以往个人信息仅保持在各个APP/网站/平台的运营商手中、而不是集中复制成完整的一份的状态！

图为第三方SDK通过嵌入至其它公司的APP中，从而收集个人信息并进行集中的示意图

通过提供“第三方SDK”并通过其收集到的含有个人信息的数据进行分析，出售数据分析成果，譬如提供用户精准画像的营销辅助服务，催生了若干年度营业收入达到近10亿元人民币的企业。

除了将我们的个人信息实现收集及集中之外，“第三方SDK”最核心的危害在于——使用“第三方SDK”的APP、网站的企业、用户，大部分并未意识到这些“第三方SDK”在后台不停地收集其个人信息！且听我们详细道来。

3. 技术检测

您在使用的一个普通APP，
它被嵌入了多少第三方SDK

‍

注：由这里开始的两个章节会有许多技术内容，我们会尽量用简单的语言进行描述。

在腾讯2018年7月发布的《网络安全新常态下Android应用供应链安全探秘》报告中，(https://m.qq.com/security_lab/news_detail_469.html) 提到说“各种类型的APP在第三方SDK使用数量方面，金融借贷类平均使用的SDK数量最多，达到21.5，紧随其后是新闻类APP，平均数量为21.2；往后是购物类、社交类、银行类和游戏类，平均数量都超过15个；再后面的则是出行类、办公类和安全工具类，平均使用的SDK数量相对较少，分别为11.4、9.7和6.7”，如下图所示：

‍来源：腾讯《网络安全新常态下Android应用供应链安全探秘》

https://m.qq.com/security_lab/news_detail_469.html

 

为了验证使用“第三方SDK”问题的严重性，我们随意下载了一个电商及出行服务功能的APP，对它进行了技术检测，检查它内部使用了多少个“第三方SDK”。我们虽然已经有了心理准备，然而检测结果仍然让我们大吃一惊，答案是33个！如下所示：

某APP嵌入SDK插件情况

换句话说，我们在使用的一个普通APP，它里面加入了另外33个“小APP”（第三方SDK）。这些第三方SDK当然为该APP提供了许多功能上的协助，然而，由于附加的SDK数量繁多，并且这些“第三方SDK”的安全性都没有得到很好的验证，这就造成了这些SDK可能在偷偷地收集个人信息，并将这些信息传给“第三方SDK”供应商的后果。

4. 第三方SDK在收集什么样的个人信息

要通过技术手段把一个“第三方SDK”在收集什么数据全部检测清楚，是非常非常困难的，这主要是因为“第三方SDK”通过加密、代码防逆向等手段，导致其收集到的数据往其指定的服务器回传的时候，几乎很难被全部“破译”的。虽然，在一些“第三方SDK” 的公司官网上，放置了所谓的“隐私协议”，对公众说明这些“第三方SDK”会收集什么数据，然而，（我们很不负责任地说一句）它们从来没有也不敢在技术上公开其真正收集及回传了什么数据，也没有让第三方由技术上来检测它收集及回传了什么数据，而是选择了对大部分回传数据进行了加密！如以下我们的检测所示：

所以，“第三方SDK”，你真的是为了“安全”而加密，你怕什么？你让我如何信任你？

就拿本次我们随意挑选的这款APP来说，我们对某使用的33个“第三方SDK”进行了进一步的技术检测，尝试分析及梳理这些“第三方SDK”究竟在收集及往回传输什么个人信‍息：

 a.“第三方SDK”收集了APP用户手机的IMEI码并回传（注意：所有的“回传”，不是回传至您使用的APP的服务器，而是回传至“第三方SDK”自己的服务器）：

 b. “第三方SDK”收集了APP用户的经纬度信息并回传：

c.“第三方SDK”获取APP用户手机的蓝牙权限：

d.“第三方SDK”获取APP用户手机的定位及Wifi权限：

e.“第三方SDK”获取APP用户手机的新装及卸载APP清单：

f.“第三方SDK”申请APP用户手机所在手机的摄像头权限：

这一项是最恐怖及最可恶的，你一个“第三方SDK”，你在官网上声称你就是一个统计功能的“第三方SDK”，你凭什么通过我使用的一款APP来使用我手机的摄像头？？？！！！！

所以，您现在可以理解为什么某些公司能够向外出售包括有以下个人信息字段的大批量数据了吗？这就是我们一直强调的：您几乎所有的个人信息都被它集中了，因为它是经由过百万的APP中收集及整合的：

上图为某公司收集到并且可以“提供”的个人信息

5. 第三方SDK的“三宗罪”

‍“第一宗罪”：“第三方SDK”提供商一般通过一些格式条款或服务告知书，要求使用其SDK的企业，必须自行通知其用户说：

• 企业在使用“第三方SDK”

• “第三方SDK”在收集用户的什么信息

• 并且要获取用户同意向“第三方SDK”提供信息

也就是说，“第三方SDK”将获取个人信息所有者的授权，以及明示“第三方SDK”和APP同时收取客户数据的责任转嫁给了APP，而实际上，使用“第三方SDK”的企业往往并不知道“第三方SDK”在收集其用户的个人信息（想知道的时候就会发现流量是加密的），因此，也根本不可能在其APP或网站的《隐私协议》里向其用户做出明确说明，也因此不可能获取到用户的同意！

如果是一家使用“第三方SDK”的企业的信息安全管理团队或者合规团队，看到这里应该感觉很冤枉，但您可以问一下自己，在此之前是不是从来没有意识到这一点？一旦处罚的话，“背锅侠”就是信息安全管理团队或者合规团队。

另外，在提供下载的“第三方SDK”技术文件中，没有任何有关其将收集什么个人信息并回传的说明或者提示。如果是一家使用“第三方SDK”的技术开发团队，看到这里应该感觉很冤枉，但您可以问一下自己，在此之前是不是从来没有看到有“第三方SDK”在其附带的技术说明文件里提到这一点？

“第二宗罪”：对于个人信息的使用，其很关键的一点是仅取最小所需，而SDK通过不透明的方式，大量、高频次的抽取数据，这些数据甚至和所提供的功能完全没有联系，譬如上一章节所述的，那个莫名其妙的“摄像头权限”。弱水三千，我只授权你一瓢，但是你直接围着湖建了个水库。

“第三宗罪”：对大量个人信息进行了“集中及整合”，导致我们以为我们的个人信息将碎片化地保持在各个APP/网站/平台的运营商手中，而不是集中复制成完整的一份这个“美好愿望”落空了。任何人看到这里应该感觉很冤枉，但您可以问一下自己，在此之前您有向某一个APP/网站提供过您的所有个人信息吗？从此，您的个人精准画像得以生成，比你自己还了解你自己，另外，关键是你自己从来没有授权过“第三方SDK”可以收集你的所有个人信息呀！

 6.在数据资产化及数据流通的大潮下，如何更好并且切实做到对个人信息的保护？

数据流通甚至实现数据资产化流通是不可逆转的潮流，许多人都听说过欧盟的GDPR，一般都只因为它对个人信息的保护要求很严格、处罚很严厉（一旦违反最高可处企业全球年度收入的4%）而记住了它；然而，GDPR的立法序言中曾不止一处的提到它的立法初衷并非仅仅是为了提出许多严格的、难以实现的个人信息保护要求，或者仅仅是为了处罚，相反，GDPR是为了确保高度保护个人数据的同时“促进数据在欧盟境内的有效流通”，譬如立法序言第6条“技术快速发展及全球化进程加快为个人数据保护带来新的挑战。个人数据的收集和共享规模大幅增长……应在确保高度保护个人数据的同时，进一步推进个人数据在欧盟内部的自由流通，以及向第三方国家和国际组织的传输”。

不可否认，大数据分析、数据流通对市场经济发展、对各个行业发展、对国家战略发展具有巨大推动作用。然而，如果没有对“第三方SDK”这类个人信息收集工具及其背后团体的有力监管，甚至没有意识到有这一类违规收集个人信息的、代表巨大商业利益的组织的存在，那么，所有的APP专项整治、所有的APP或者网站隐私政策就只是一纸空文而已。用户，即使是再专业的法律合规人士，其日复一日审核的也只是使用APP过程中弹出来的一纸隐私政策/隐私协议，根本无从了解APP背后的“第三方SDK”竟然在在收集并整合一张“完整的用户画像图”。

今年3月份发布的《APP违法违规收集使用个人信息自评估指南》中虽然也要求“如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器，应通过弹窗提示等方式明确告知用户”，但是，“第三方SDK”使用加密等手段，技术上导致有关的个人信息收集成为一个黑盒子，所有的APP评估实际上缺乏真正透明、完整、准确的检测结果；相关国标及评估指南存在落地的局限。我国需要更为详细的数据保护法案来约束企业特别是这一类“第三主SDK”企业的行为，或者至少需要增强其透明度，甚至实行特殊监管，毕竟这一类企业将成为未来的“个人数据银行”！其商业价值是巨大的，但是其业务特殊性导致其必须受到国家的重点监管！

综上，我们认为：为了形成健康、良性的数据流通、数据交易与交换发展机制，国家和企业应该：

• 自律并尊重用户：自律是企业在个人信息收集及处理领域必须形成的最核心机制之一，同时，只有在尊重用户、自律的前提下，才有可能使技术不被滥用，才有机会去使数据的流通和交易合情合理。这也最终才能反过来造福那些在业务上依赖收集个人信息及数据流通产生盈利的企业，因为只有用户信任你能好好尽到尊重用户并且自律，他们才愿意把个人信息交予你；

• 切实监管：如果监管没有抓住实质及核心，只是流于形式，则等同没有监管。通过切实有效的监管，抓住核心问题，才能形成实质的威慑力，并且才能够加大企业自身的数据收集及流通行为的透明度，令到我们每一个人放心。

 

赛博星人一直都希望通过我们的努力而令到这个世界有一点点不同，并且也希望能够为构建诚信社会持续添砖加瓦。对我国个人隐私保护工作的强烈责任感与责任心，促使我们花费了许多精力及时间撰写了此篇文章。如果看完这篇文章之后，令到您对自己个人信息如何被收集、如何被集中整合的严重性有了一点了解，也因此提升了您对自己个人信息的保护意识的话，那么我们就已经很欣慰了！毕竟罗马不是一天建成的，中国的隐私保护事业，还很很很漫长，它需要每一个人、专业咨询机构、企业、监管及执行机构共同的努力！虽然我希望自明天开始，不会再收到“营销”或者骚扰电话，虽然我知道不可能…….

感谢众多赛博星人小伙伴特别是执行“第三方SDK”技术检测的小伙伴，您们花费了巨大的精力与技术付出，您们是最棒的：

• Filippo (LiuFeng)：摸爬滚打十余载，安全行业老油条，看遍安全各种蝇营狗苟

• Loki：浸淫运营商行业数载，小眼睛挖出大漏洞

• 薇薇（Vera）：熟悉Android安全就像熟悉Chanel色号，安全界最懂时尚，美女界最懂安全

• 狗子(Jackey)：本科时就开始给研究生上课的物联网安全技术大神

• 教授(Kenny)：自5岁懂事起开始研究渗透

• 普华吴彦祖(Leo)：安全技术大牛里最帅炸天的

• 股神(Junfei)：由加拿大黑回祖国的北美技术大神

• 大姐大(Kris)：英语专八毕业然后发现自己只爱渗透技术的大美女，单身哦~

‍

本文始发于微信公众号（赛博星人）：315爆光的WiFi探针算什么,你的所有信息这里都有