现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
【十年·中国观察】小屏改变大时代 移动互联网重构中国人生活******
中新社北京9月25日电 题:小屏改变大时代 移动互联网重构中国人生活
中新社记者 马学玲 袁秀月
“如果有一天意外离开这个世界,我的这些账号怎么办?”
因为担心多年经营的网络账号得不到妥善处理,中国上海一位年轻的自媒体博主为自己的数字遗产立了一份遗嘱。这份遗嘱里,记录了另一个“她”——一个数字化的存在。
1000多公里外的陕西,八旬老太崔淑侠对着屏幕,操着方言销售家乡的大红杏:“这杏好吃得很,额(我)给你咬一口,额(我)还没牙,好吃得很。”
三天吸引上千粉丝,每天助销家乡红杏过万元人民币,人们称她为“网红奶奶”。
一小一老“逆龄”操作的背后,是移动互联网改变的今日中国。
移动互联网改变了中国什么?可以从一个二维码说起。
收款码、付款码、乘车码、点餐码……无数普通人从二维码开始走进移动互联网的世界,同时也打开中国数字经济时代的大门。
资料图为北京一商场内,顾客从巨型二维码前走过。 中新社发 樊甲山 摄十年间,中国手机网民规模增长超6亿,移动互联网不断展示着改变现实的力量。电商、社交、游戏、移动支付、资讯等各类APP涌现,互联网创业热潮席卷全国,截至2021年底,中国境内外互联网上市企业跃至155家。评论指出,庞大的网民构成了中国蓬勃发展的消费市场,也为数字经济发展打下了坚实的用户基础。
中国社科院发布的“数字经济蓝皮书”显示,2010年至2015年,中国数字经济年均增速11.2%,2015至2020年达10.1%。中国数字经济,成为经济增长重要引擎。蓝皮书预计,“十四五”时期,中国数字经济将延续快速增长势头,数字经济整体的年均名义增速为11.3%。
中国人的生活在移动互联时代得以重构,就餐、出行、购物、就医等都转移到网上。文化娱乐方式、时尚观念以及消费理念,也随着互联网的风向而变。
移动互联浪潮之中,社会交往方式随之巨变。很多年轻人习惯通过互联网寻找同好,与群体及社会互动。像崔淑侠这样的银发群体,也从数字技术的边缘成为移动互联网新的“流量池”,短视频、直播成为老年人新的社交方式。
资料图为2022年9月9日,福建厦门,参会者在“投洽会”上体验元宇宙直播。 中新社记者 张斌 摄一些独特的网络文化产生,网络流行语、表情包成为年轻人日常交流不可或缺的工具。作为真正的“网络原住民”,中国的新生代有一套自己的话语体系。他们兴趣广泛,充满热情,崇尚个性表达,也热爱传统文化。他们有主见不盲从,拥抱他人也相信自己。
不管是让田园梦走向世界的李子柒,还是拥有众多粉丝的举重冠军吕小军,抑或是冬奥赛场上的苏翊鸣、徐梦桃,他们代表着新一代中国年轻人的视角。
资料图为2月14日,北京2022年冬奥会自由式滑雪女子空中技巧决赛在张家口举行,徐梦桃庆祝夺冠。 中新社记者 富田 摄移动互联网,不仅改变了现实中的中国,也改变了世界眼中的中国。
19年前,希腊《希华时讯》总编辑梁曼瑜刚出国时,有外国朋友问她:“你们中国人家里有电视机吗?”这让她啼笑皆非。
如今,许多希腊朋友用上了中国生产的手机,用中国企业搭建的跨境电商平台购物,希腊民众颇为关心的话题变成中国的经济、科技和文化。
过去十年间,中国互联网企业及其推出的移动互联网应用产品,已成为“中国智造”的一张新名片。
许多中国应用在海外市场拥有大批的用户,并在海外落地生根,发展出适合当地的互联网应用模式。通过移动互联网,中国的文化内容也正显示出越来越大的影响力,中国的网络文学、汉服文化、网络游戏纷纷“出海”,拉近了中外年轻人之间的距离。
“海外粉丝好奇的不仅是中国发展有多快,他们更在意普通人的生活方式——中国的外卖小哥、快递员、农民,甚至包括李子柒。”歪果仁研究协会会长、联合创始人高佑思说。
像高佑思这样的外国网红,在中国移动互联网上并不少见,甚至已成为一种现象。有人调侃,如今的中国互联网,遍地都是“老外”。外国网红和中国粉丝,越来越多的互动和碰撞,正在打破彼此间的文化“次元壁”。
资料图为歪果仁研究协会会长、联合创始人高佑思(后排左一)在北京现场主持一场试吃活动。 中新社发 金硕 摄小屏改变大时代,移动互联网通过连接万物、信息流通,改变了人们生活的点滴,深刻影响着社会发展的进程。但其带来的系列次生负面问题不可忽视,值得反思。
数据鸿沟、算法陷阱、信息茧房、社交疏离、注意力缺失、隐私泄露、电信网络诈骗……人们在拥抱数字化生活时,不得不直面这些困扰。
去年,中国制定施行个人信息保护法,不久前又通过了反电信网络诈骗法。时下,中国各地数字经济领域立法动作频频,全国层面的立法计划也列入议程。
资料图为2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。当日,一位男士在北京街头查看手机。 中新社记者 侯宇 摄加速向数字化转型的中国,在全力驱动产业发展的同时,亦在致力用法治驯服“数据”,推动技术发展“去恶向善”。(完)
(文图:赵筱尘 巫邓炎) [责编:天天中] 阅读剩余全文() |