【动画】@App开发者们,你想了解�����的SDK安全风险都在这�����!******
日前�����,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App�����,有13款内嵌第三方SDK存在违规收集用户设备信息行为�����。
现如今�����,大量App借助SDK实现特定功能,提供便捷服务�����,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞�����、SDK恶意行为、SDK收集使用个人信息三类。
其中�����,SDK恶意行为�����是指嵌入APP中的SDK自身产生的恶意行为�����。这种恶意行为将破坏使用SDK�����的APP�����的安全性�����,对用户权益�����、数据等方面造成严重威胁。典型�����的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定�����的目标不同,恶意劫持App流量�����,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录�����、短信息等个人敏感信息�����,隐蔽进行拍照�����、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利�����。
在SDK收集使用个人信息方面,安天移动安全发现�����,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中�����,包括用户同意隐私政策前就开始收集个人信息�����、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据�����的收集和上传。
由于该SDK 在不同App中存在模块代码和版本�����的不同,因此对其在不同月活范围 App 中�����的数据收集行为进行抽样分析,从结果上来看�����,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中�����,还存在通过云控参数控制 SDK 在终端侧收集数据范围�����的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例�����,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息�����。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围�����的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK�����的功能业务场景�����。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围�����,但其合理性和必要性存疑�����,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外�����,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外�����,SDK自身还注册监听了多种广播消息�����,在监听到相关消息后则会触发数据�����的收集和上传行为。例如对解锁屏�����、电源连接断开事件进行监听�����、对用户终端安装、卸载应用行为进行监听,除此以外�����,还会监听应用前台�����、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为�����,热更新技术控制 SDK 行为�����,后台拉活�����、自动下载安装、误触下载等风险行为。
(监制�����:张宁 策划�����:李政葳 制作:黎梦竹)
仲秋元同志逝世******
新华社北京1月19日电 原文化部副部长、党组成员仲秋元同志�����,因病于2022年12月28日在北京逝世,享年102岁�����。
仲秋元同志逝世后�����,中央有关领导同志以不同方式表示哀悼并向其亲属表示慰问。
仲秋元,1920年9月生�����,江苏苏州人�����。1938年4月参加革命工作�����,1945年12月加入中国共产党。1938年4月起先后任新出版业联营书店经理、三联书店重庆分店经理等。1947年6月被捕�����,被关押在渣滓洞集中营�����。1949年3月被组织解救出狱�����。1949年6月起先后任三联书店总管理处秘书处主任,新华书店总店图书发行部主任�����,出版总署发行管理局计划科科长等。1954年10月起先后任文化部计划财务司副司长、办公厅副主任、党组秘书等�����。“文化大革命”中受冲击下放“五七”干校劳动。1973年11月起先后任中央美术学院党委书记�����、革委会主任,文化部教育司副司长、办公厅主任�����。1981年3月至1986年3月先后任文化部副部长、党组成员兼办公厅主任,文化部副部长、党组成员�����。2001年4月离休�����。(新华网)
(文图:赵筱尘 巫邓炎) [责编�����:天天中] 阅读剩余全文() 推荐阅读 1分快3下载普拉多停产不要慌!这些车型13万起,硬派又拉风! 2024-01-17 1分快3客户端下载北京原经信委副主任接受多家车企宴请 被严重警告 2024-01-23 1分快3app下载不缺科幻元素 探秘中国首个火星真实模拟体验基地 2024-05-17 1分快3官网网址前11个月国企利润同比增长15.6% 2024-02-01 1分快3论坛著名评论员杨健篮彩连中5串关 揭明日投注! 2024-08-19 1分快3注册 智慧栽实控人突遭拘留 2024-07-09 1分快3客户端 博格巴回应批评:他们靠说话挣钱 而我为我的球队而战 2024-03-26 1分快3交流群驻乌克兰大使馆提醒中国公民关注科兴灭活疫苗加强针接种工作 2024-03-07 1分快3app美国滑雪运动员比赛意外受伤住院 出院时发推感谢中国医护人员 2024-10-15 1分快3官网平台折叠屏手机柔宇柔派终于开卖 2024-05-15 1分快3网址 深圳9岁男童遭3只大狗追撵,狗主人全程淡定 2024-05-03 1分快3登录 排场壮观!泰国举行国王加冕仪式彩排 现场气氛紧张隆重 2024-07-06 1分快3规则深击|共享住宿走进下半场:“做重”会是个好生意吗? 2024-04-29 1分快3返点 李彦宏夫妇或成“老赖”?百度回应 2024-09-20 1分快3骗局印度要造第二艘航母 但不久前唯一航母刚起火 2024-02-10 1分快3计划吴奇隆当爸微博报喜:母子平安 2024-06-03 1分快3漏洞私募产品代销上演“罗生门”?国海证券无辜“躺枪” 2024-05-21 1分快3玩法高燃!回顾世乒赛国乒包揽全部5项夺冠时刻 2024-06-11 1分快3娱乐刚买一年,价格掉一半!新能源车,为啥转手就尴尬 2023-12-28 1分快3下载app雪落山西芦芽山悬空村 2024-07-13 1分快3充值四百万年钟乳石遭恶意破坏 三男子砸断后偷走 2024-07-16 1分快3技巧广汽本田最省油的MPV 奥德赛混动版将于今日上市 2023-11-22 1分快3开户斜坡训练增强核心 跑者提升速度的5技巧 2024-04-21 1分快3赔率考古探秘:5000多年前古人就会使用指纹 2024-07-10  ) 1分快3地图 |
微信好友 
朋友圈 
