现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
站在历史的十字路口 中共二十大如何与世界对话?******
(中共二十大·观察)站在历史的十字路口 中共二十大如何与世界对话?
中新社北京10月20日电 题:站在历史的十字路口 中共二十大如何与世界对话?
中新社记者 邓敏
中共二十大正在北京举行。世界各个国家和政党如此瞩目是次大会,不仅想看懂全球第二大经济体实现中国式现代化的施工图,也在观察中国如何定位自身与世界的关系,能否继续以负责任大国角色为动荡中的世界注入稳定和确定的正能量。
10月16日,中国共产党第二十次全国代表大会在北京人民大会堂隆重开幕。 中新社记者 毛建军 摄在二十大报告中,外界关切的重要议题得到了清晰明确的回应:中共如何看待世界大势与中国发展,中国希望推动建设什么样的世界,构建什么样的新型国际关系,新时代中国将实行什么样的外交政策……
世界之变、时代之变、历史之变正以前所未有的方式展开,人类社会面临前所未有的挑战。“世界又一次站在历史的十字路口,这个路口指的就是和平与发展。”外交学院副院长高飞称。
中共老一辈政治家曾作出和平与发展是当今世界两大主题的历史性判断,中国也始终坚持维护世界和平、促进共同发展的外交政策。当此之时,百年未有之大变局加速演进,世界进入新的动荡变革期。一方面,和平、发展、合作、共赢的历史潮流不可阻挡;另一方面,恃强凌弱、巧取豪夺、零和博弈等霸权霸道霸凌行径危害深重。世界各国人民皆面临何去何从的抉择。
正是在这个关键的历史十字路口,中共二十大旗帜鲜明地亮出了中国的抉择:促进世界和平与发展,推动构建人类命运共同体。这是新时代中国外交的总目标,也是为人类前途命运的世界之问、时代之问、历史之问提供的中国智慧与答题方案。
联合国秘书长古特雷斯说,我们践行多边主义的目的,就是要建立人类命运共同体。中共二十大报告指,中国提出了全球发展倡议、全球安全倡议,愿同国际社会一道努力落实。显然,这是在进一步丰富人类命运共同体理念,也是在向全世界重申,中国是构建人类命运共同体的倡导者,更是践行者。
过去十年,得益于共商共建共享的“一带一路”倡议,东非有了高速公路,马尔代夫有了跨海大桥,老挝由“陆锁国”变为“陆联国”,中欧班列也成为保障全球物流稳定畅通的重要生命线。“从‘一带一路’倡议到人类命运共同体理念、全球发展倡议、全球安全倡议的提出和实践,近十年来中国在国际舞台上一直在展现着负责任大国的形象。”印度尼西亚学者维罗妮卡如是说。
正因如此,人们也有理由相信,以中共二十大为新的起点,坚持对外开放基本国策、奉行互利共赢开放战略的中国,将会打造更多的国际公共产品和国际合作平台,更好惠及各国人民。
资料图:陕西西安,中欧班列(西安—汉堡)整装待发。(无人机照片) 中新社发 黄鑫 摄值得注意的是,在论述中国式现代化的本质要求时,二十大报告亦指中国式现代化要“推动构建人类命运共同体,创造人类文明新形态”。这表明,中共既强调现代化的中国特色,也“胸怀天下”,并致力于为实现现代化营造稳定的外部环境。其具体表现就是推动构建新型国际关系,在“新征程”上以此作为中国外交布局的核心要素:
——促进大国协调和良性互动,推动构建和平共处、总体稳定、均衡发展的大国关系格局。
——坚持亲诚惠容和与邻为善、以邻为伴周边外交方针,深化同周边国家友好互信和利益融合。
——秉持真实亲诚理念和正确义利观加强同发展中国家团结合作,维护发展中国家共同利益。
然而,全球和平赤字、发展赤字、安全赤字、治理赤字加重,也是不争的事实。尤其是某些国家正“筑墙设垒”,试图“脱钩断链”,单边制裁、极限施压,无所不用其极。对此,中共二十大强调,中国积极参与全球治理体系改革和建设,“中国永远不称霸、永远不搞扩张”。这正是在努力增信释疑,避免“修昔底德陷阱”,化解“金德尔伯格陷阱”,以制度改革和创新破解“集体行动难题”,共担全球治理责任,共建公正、合理的国际秩序。
外界注意到,在论述中国奉行独立自主的和平外交政策时,二十大报告提出,坚决反对一切形式的霸权主义和强权政治,反对冷战思维,反对干涉别国内政,反对搞双重标准。“这一系列反对恰恰体现出中国敢于斗争的精神。”高飞说,“中国反对的这些行为都和人类进步发展方向相悖,是导致世界出现诸多问题、不能有效合作的重要原因。作为一个负责任、讲原则、守底线的国家,中国不愿意也不能够看着世界滑向霸权主义、强权政治,走到新冷战的地步。”
复旦大学中国研究院特邀副研究员刘典称,当前,国际社会比以往任何时候都更需要和平稳定。“在此时点,中共二十大提出的一系列政策,既为中国更好应对当下世界局势,亦令中国成为全球政治经济体系的重要‘稳定器’。”
中共二十大明确传递出对世界光明前途的信心,同时对“风高浪急甚至惊涛骇浪”亦有清醒认知。路虽远,行则将至。中共将如何以中国式现代化实现民族复兴,兑现以中国新发展为世界提供新机遇的承诺,值得期待。(完)
(文图:赵筱尘 巫邓炎) [责编:天天中] 阅读剩余全文() |