【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
新春走基层丨人头攒动的热乎劲又回来了——西北县城市场一线观察******
新华社兰州1月10日电题:人头攒动的热乎劲又回来了——西北县城消费市场一线观察
新华社记者
春节临近,位于甘肃省临夏回族自治州临夏市枹罕镇的高新花卉特色产业示范园区里暖如三春,园区内的临夏百益亿农国际鲜花港内,3个6万多平方米全自动智能温室里不同品种的玫瑰花争着盛开。采摘、保鲜、剪切、包装各环节上的几百名女工们忙个不停。
地处西北的甘肃省临夏州因光照充足,成为鲜花的优质产地。疫情防控政策优化调整后,各地经济迅速恢复,加上春节临近,对鲜花的需求大增,这个鲜花产业园每天出货20万枝,通过四通八达的物流销往全国各大城市。
在百益亿农国际鲜花港玫瑰工厂内,工人正在采摘玫瑰。(新华社记者周梦蝶 摄)
临近春节,记者在临夏州、陇南市多县城发现,各地复工复产,消费活力迅速恢复。
临夏州百盛商贸有限公司在当地有17家超市,最大的一家营业面积超过一万平方米,位于临夏市中心天元广场。随着人流进入超市,伴着喜庆的新年歌声,随处可见的促销条幅挂满超市的各个货柜,促销手段多种多样,“买200送200”“会员享受双倍积分”“超值低价”……过年的气氛扑面而来。
市民在临夏市百盛超市天元广场店购物。(新华社记者马莎摄)
“从2022年的12月18日开始,客流量明显回升。”临夏州百盛商贸有限公司副总经理王莉萍说。
天刚擦黑,临夏市的人文景区“八坊十三巷”被彩灯、霓虹灯装扮成了梦幻之境。景区内摩肩接踵,狭窄处需侧身让行,嬉闹声、谈笑声、朋友相遇的寒暄声、叫卖声汇成一片。
该景区由临夏枫临文化旅游投资有限公司负责运营,董事高若楠说,景区内200家店铺有177家已经恢复营业,从元旦假期开始,景区开辟了多个夜游区域吸引游客。
“景区内人头攒动的热乎劲又回来了。”高若楠说。
这是近日临夏市“八坊十三巷”人文景区夜景。(临夏市融媒体中心供图)
记者在多个西北县城看到,一些档次较高的饭店和农家乐聚集地在饭点车来人往,名气较大的店甚至需要预订或排队,大小酒店也都恢复了七成入住率。
晚上7时左右,陇南市武都区状元楼饭店车位已满,店里一共20桌,有16桌已坐上了客人。饭店负责人田晓燕说,饭店日营业额已由元旦期间的两三千元恢复到了目前的1万元左右,年夜饭也已经订出了18桌。
下午3时许,尽管不是饭点,但在陇南市武都区丰正面道连锁店仍可以看到上座率在50%以上。店员正在给几位顾客热情地介绍着菜单上的美食小吃。这里的菜品主要为面食,后厨内锅气蒸腾,五六位师傅正忙前忙后。饭店总负责人李豪一边和熟客打招呼一边介绍说,目前店内已经恢复了往日的热闹景象,赶上饭点的时候甚至需要排队等待。
临夏市速8酒店大什字店不断有顾客进进出出,店长常永吉说,80间客房已有近50间入住,这一数字在元旦期间更高。
“复苏的情况好于预期。”常永吉介绍,这段时间,外地来住宿的旅客明显增多,这也是依托周边旅游业、餐饮业等逐步恢复所带来的效果。
“目前的经营情况可达到2019年的70%以上。”陇南市金都大酒店的负责人乔玲介绍,一些时段还需排队订房,酒店正摩拳擦掌准备迎接即将到来的春节。
临夏州商务局市场运行和消费促进科副科长陕明敏表示,目前正抓住春节消费旺季,开展让利打折刺激居民消费,促进餐饮住宿行业的复商复市。(记者姜伟超、周梦蝶、胡伟杰、马莎、崔嘉琪)