【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
2023,世界期待更多的正能量******
国际观察|2023,世界期待更多的正能量
新华社北京1月5日电(记者刘赞)2022年,世界动荡不安:美国四处拱火浇油,乌克兰危机延宕难解;新冠疫情持续,奥密克戎毒株成为全球流行的主要毒株;通货膨胀、粮食危机、能源安全问题复杂严峻,世界经济复苏迟滞乏力;气候变化危害日益凸显,气候变化谈判举步维艰……
2023年,世界充满悬念:乌克兰危机能结束吗?世界卫生组织会不会宣布新冠大流行终结?世界经济能否摆脱衰退阴影?美国政局变化有哪些外溢影响?亚太地区热点问题会不会持续升温?气候变化谈判又能否取得新进展?
悬念一:乌克兰危机能结束吗?
2022年2月24日,俄罗斯对乌克兰发起特别军事行动,乌克兰危机升级。以美国为首的西方国家不断对乌提供军事和经济援助,使这场冲突变成了持久战。与此同时,美国及其盟友对俄实施规模空前的严厉制裁,但未能击垮俄经济。
目前,俄乌两军基本处于相持状态。由于双方立场差距巨大,短期内难以通过谈判化解危机。美国继续拱火浇油,日前再次宣布对乌追加18.5亿美元军援,其中包括“爱国者”防空导弹系统。美国国会最近还通过2023财年综合拨款法案,其中包括高达450亿美元的援乌资金。俄罗斯近期则宣布,计划将俄军规模从115万人扩充至150万人,释放出加强军事力量的信号。
2023年,这场危机是走向终结,还是进一步升级,目前难以预料。西方国家能否承受持续对乌援助给本国经济和国防带来的巨大压力,将是决定局势走向的一个重要因素。
悬念二:新冠大流行能终结吗?
过去一年,变异新冠病毒奥密克戎毒株成为全球流行的主要毒株。与此前流行的毒株相比,其传染性更强,具有多个亚型,在世界各国引发一波波新的疫情高峰。不过,奥密克戎的致病力明显减弱,感染奥密克戎导致的重症率和死亡率显著下降,这也促使世界各国逐渐调整防疫政策。
世界卫生组织总干事谭德塞不久前表示,希望在2023年某个时候可以宣布新冠疫情不再构成全球卫生紧急事件,世卫组织紧急委员会1月将开会讨论其判断标准。
面对抵御新冠病毒的战役,全球科学家在不懈寻求下一代疫苗、抗病毒药物等新武器,随着新冠疫苗和药物的研发取得进展,人类必将拥有越来越多对付病毒的武器,构筑起抵御新冠病毒的坚盾。
悬念三:世界经济能摆脱衰退阴影吗?
2022年,世界经济困难重重,特别是通货膨胀困扰很多国家。以美国为首的西方国家此前为应对新冠疫情、刺激经济长时间施行超宽松货币政策,为通胀飙升埋下祸根。乌克兰危机升级后,西方对俄制裁使得原本就被疫情所扰乱的国际供应链进一步受阻,能源、粮食价格高企进一步推高通胀,欧美多国物价涨幅创下40年来最高纪录。
为应对通胀,美联储快速大幅加息,导致其他经济体货币大幅贬值,加剧其输入性通胀。不少国家被迫跟随美国加息步伐,引发经济衰退担忧。
国际货币基金组织2022年10月发布的《世界经济展望报告》预计,2023年全球经济增速为2.7%,较7月的预测值下调0.2个百分点,全球经济面临巨大下行风险。
不过,随着累积需求释放和政策效应叠加,中国经济将呈现明显复苏增长势头,这将为世界经济带来持续动力、机遇和信心。
悬念四:美国政局变化将产生哪些外溢影响?
2022年,美国民主、共和两党继续恶斗,在堕胎权、控枪、移民等一系列问题上尖锐对立。在11月的中期选举中,共和党夺取国会众议院控制权,民主党则以微弱优势保住参议院控制权。
在两党瞄准2024年总统选举、新一届国会两院“分裂”的情况下,共和党预计将在2023年对拜登政府发起更多挑战,其现行的内外政策将面临巨大不确定性。
共和党内部斗争也可能趋于激烈。由于打算参加下届总统选举的前总统特朗普在中期选举中发挥的作用不佳,共和党内温和派可能考虑放弃对他的支持。同时,共和党在众议院的席位优势不大,使得党内极端势力或将有更多机会左右该党在国会的立场。
在政治极化、党争加剧的背景下,美国政局走向具有较大不确定性,这将影响美国的对外政策,进而对世界造成复杂影响。
悬念五:亚太地区热点问题会持续升温吗?
2022年,在美国搅局之下,亚太多国面临不同程度震荡,地区局势局部升温。
美军撤离一年后,阿富汗仍然面临严峻安全形势和严重人道主义危机。在朝鲜半岛,美国与韩国多次举行大规模联合军演,朝鲜发射导弹予以反制,半岛紧张局势不断升级。在美国支持下,日本最近正式通过新版《国家安全保障战略》等3份安保政策文件,提出打造所谓“反击能力”即事实上的攻击能力等政策主张,并将在未来5年大幅增加军事开支,引发国际社会担忧。
可以预见,美国会持续在亚太“拉小群”、搞事情,2023年的亚太恐怕难以平静。
悬念六:气变谈判能取得新进展吗?
气候变化是人类面临的重大挑战。2022年,从巴基斯坦特大洪灾造成1000多人死亡,到欧洲夏季高温干旱造成泰晤士河源头干涸、莱茵河几乎断航,再到最近冬季风暴几乎席卷全美造成数十人死亡……一系列极端天气事件提醒人类,应对气候变化刻不容缓。
2022年11月,《联合国气候变化框架公约》第二十七次缔约方大会(COP27)在埃及沙姆沙伊赫举行。发达国家在向发展中国家提供资金和技术支持等问题上依然态度消极,其先前承诺的每年1000亿美元资金支持仍未兑现。作为会议成果的一大亮点,本次大会最终同意建立损失与损害基金,旨在向最脆弱和受气候变化影响最严重的国家提供财政援助,但这只是第一步,基金形式、出资国家、分配方式、援助对象等关键问题被留到2023年继续谈判。
当前,发达国家经济状况总体不佳,加上能源供应紧张导致部分发达国家重新转向煤炭发电,发达国家自身减排意愿以及为发展中国家减排提供支持的意愿都在下降。在这样的形势下,2023年在阿联酋迪拜举行的COP28能否就上述关键问题取得新进展值得关注。
(文图:赵筱尘 巫邓炎)