【动画】@App开发者们��� �,你想了解��� �的SDK安全风险都在这!******
日前��� �,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为��� �。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题��� �,包括SDK自身安全漏洞��� �、SDK恶意行为��� �、SDK收集使用个人信息三类。
其中,SDK恶意行为��� �是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK��� �的APP��� �的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持��� �、资费消耗��� �、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同��� �,恶意劫持App流量,可能对App造成损害��� �;隐私窃取指SDK在用户不知情或误导用户��� �的情况下,隐蔽窃取用户��� �的通讯录��� �、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者��� �;广告刷量指SDK在最终用户不知情的情况下��� �,在后台模拟人工点击广告链接进行牟利��� �。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中��� �,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入��� �的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传��� �。
由于该SDK 在不同App中存在模块代码和版本��� �的不同��� �,因此对其在不同月活范围 App 中��� �的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题��� �,并且在月活较低��� �的 App 接入��� �的版本中��� �,还存在通过云控参数控制 SDK 在终端侧收集数据范围��� �的情况,并且涉及大量用户隐私路径数据��� �的访问。
以某知名地图 App为例��� �,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址��� �。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外��� �,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下��� �,应用收集个人信息范围��� �的最小化原则。而在应用接入��� �的 SDK 中,收集个人信息范围��� �、频度��� �的必要性和最小化原则同样适用于SDK��� �的功能业务场景��� �。
虽然部分应用接入 SDK 时明示了 SDK 所收集��� �的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表��� �,但实际除了收集安装应用包名信息外��� �,还收集了安装应用运行状态信息等��� �,这就涉及超范围收集个人信息��� �。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为��� �。例如对解锁屏、电源连接断开事件进行监听��� �、对用户终端安装��� �、卸载应用行为进行监听��� �,除此以外��� �,还会监听应用前台、后台��� �的切换行为从而触发数据的收集和上传。
另外��� �,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活��� �、自动下载安装、误触下载等风险行为。
(监制��� �:张宁 策划��� �:李政葳 制作��� �:黎梦竹)
解放军演训是为阻挠美落实国防授权法案涉台条款?国台办回应******
中新网1月11日电 国台办发言人马晓光11日表示,美国出台所谓“年度国防授权法案”��� �,它绝不是为台湾好��� �,只是想把卖给乌克兰��� �的武器卖给台湾��� �,是要把台湾变成战场,把台湾青年变成“炮灰”��� �。
资料图:国务院台办发言人马晓光。 中新社记者 杨可佳 摄
11日,国台办举行例行新闻发布会��� �。有记者提问:解放军频繁在台海周边进行演训��� �,有台湾学者分析��� �,这是为了阻挠美国落实2023年国防授权法涉台条款��� �。请问如何评论��� �?
对此��� �,马晓光表示��� �,解放军��� �的一系列演训活动,就是针对台美勾连挑衅升级��� �的回应��� �。至于对美国出台所谓“年度国防授权法案”,我们已经表达了基本立场��� �。在这里我想说的��� �是,台湾同胞可以认真想一想,它绝不是为台湾好,只��� �是想把卖给乌克兰��� �的武器卖给台湾,��� �是要把台湾变成战场,把台湾青年变成“炮灰”��� �。我们阻止台美军事勾连挑衅升级,是为了维护两岸同胞��� �的共同利益��� �,维护台海和平稳定,维护台湾同胞和平安宁��� �的生活。
(文图��� �:赵筱尘 巫邓炎) [责编��� �:天天中] 阅读剩余全文()  推荐阅读 购彩大厅Welcome骗局古人是如何控制贫富悬殊的? 2023-12-28 购彩大厅Welcome下载app十年终圆梦! 刘诗雯4-2陈梦世乒赛女单封后 2023-07-27 购彩大厅Welcome赔率近300股跌停!沪指跌0.77%,创业板指暴跌2.55% 2024-03-08 购彩大厅Welcome客户端享受退休生活 诺天王与妻子在墨西哥海边度假 2024-01-24 购彩大厅Welcome注册网五旬环卫工藏书7000册:曾花五千元买下清朝木刻本 2023-09-06 购彩大厅Welcome下载 宁波华翔:一汽大众和宁德都均是公司客户 2023-08-04 购彩大厅Welcome计划群窦骁何超莲谈个恋爱,奚梦瑶却发微博辟谣 2024-02-01 购彩大厅Welcome必赚方案 流浪地球侵权案告破!吴京称盗版砸创作者饭碗,片源流失影响产业 2024-03-12 购彩大厅Welcome投注收评:创业板指下行跌2.55% 近300只股跌停 2024-03-02 购彩大厅Welcome软件家居企业为何不再争涌上市? 2023-05-20 购彩大厅Welcome登录特斯拉蔚来"着火" 对新能源汽车消费影响几何 2023-12-24 购彩大厅Welcomeapp机器人进入手术室,悬壶济世的时代来临? 2023-12-11 购彩大厅Welcome漏洞陕西省委原秘书长被双开:拒绝接受党组织挽救 2023-05-19 购彩大厅Welcome计划湖南常德大学生杀害滴滴司机续:被诊断患抑郁症 2023-09-20 购彩大厅Welcome开奖结果霍启刚晒仨娃合影 哥哥在大笑妹妹在哭闹 2024-03-20 购彩大厅Welcome官网网址天猫精灵带屏智能音箱 2023-11-06 购彩大厅Welcome走势图"玩"是给孩子最好的奖励之一 2024-03-02 购彩大厅Welcome代理选公办校还是国际校? 2023-10-09 购彩大厅Welcome论坛李彦宏夫妇或成老赖:作家诉百度 2023-10-04 购彩大厅WelcomeAPP谷歌西雅图在建办公园区塔吊倒塌 致4死4伤 2024-03-02 购彩大厅Welcome登录二甲双胍再添"神"用途 2023-05-26 购彩大厅Welcome邀请码可贷50万 申请平安贷款1天放款 2024-01-02 购彩大厅Welcome充值帮帮龙出动之恐龙探险队第二季VIP 全26集 2023-06-21 购彩大厅Welcome技巧解读习近平主席世园会开幕式重要讲话 2024-02-16  ) 购彩大厅Welcome地图 |
微信好友 
朋友圈 
资料图:国务院台办发言人马晓光。 中新社记者 杨可佳 摄
