【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
日本首相确诊后取消外访 美国第一夫人新冠检测转阴******
(抗击新冠肺炎)日本首相确诊后取消外访 美国第一夫人新冠检测转阴
中新社北京8月22日电 综合消息:据约翰斯·霍普金斯大学统计数据,截至北京时间22日12时20分,全球累计有596170722例确诊病例、6453733例死亡病例。
美洲与欧洲:美国第一夫人新冠检测转阴
据约翰斯·霍普金斯大学统计数据,截至美东时间21日17时20分,美国在过去24小时里新增8445例确诊病例,累计达93641944例;新增18例死亡病例,累计达1041149例。
美国有线电视新闻网当地时间21日报道说,美国第一夫人吉尔·拜登的发言人伊丽莎白·亚历山大对外表示,在隔离5天后,吉尔·拜登的两次新冠病毒检测都呈阴性。吉尔·拜登会在21日晚些时候离开南卡罗来纳州,前往特拉华州与总统拜登团聚。
现年71岁的吉尔·拜登此前已完全接种新冠疫苗并打了两剂加强针。数天前,吉尔·拜登确诊感染新冠病毒。
俄罗斯卫星通讯社21日报道称,根据俄罗斯犹太自治州副州长德米特里?布拉特年科的命令,犹太自治州恢复落实戴口罩制度。
亚洲:日本首相确诊后取消外访
日本广播协会电视台21日援引内阁官房相关人士消息报道,日本首相岸田文雄20日晚出现低烧、咳嗽等症状,21日上午10时在首相官邸接受新冠病毒检测,下午4时确诊感染新冠病毒。目前岸田文雄正在官邸疗养,仍有低烧、咳嗽等症状,其夫人及长子被确认为密接者。
岸田文雄于8月12日在自卫队运营的东京大手町新冠疫苗大规模接种会场接种了第4针新冠疫苗。
共同社21日报道说,岸田文雄取消了27日起访问突尼斯出席非洲开发会议(TICAD)的原定行程,考虑改为线上参加。岸田文雄在出席完TICAD后对中东各国进行访问的行程也被取消。
共同社援引约翰斯·霍普金斯大学统计数据报道说,截至日本当地时间20日晚,日本累计确诊病例数已居全球第10位。日本第七波疫情持续蔓延,在过去4周,日本全国约有571万人感染新冠病毒,居全球之首。
据韩国中央防疫对策本部22日通报,截至当天零时,韩国较前一天零时新增59046例确诊病例,累计达22299377例;新增56例死亡病例,累计达26109例。韩联社指出,周末检测数量减少,所以周一确诊数据通常大幅少于前日,但韩国新增确诊病例数已连续两天比前一周有所下降,疫情形势能否由此好转备受外界关注。
《联合早报》援引新加坡卫生部的数据说,新加坡21日新增1951例确诊病例,累计达1816866例;新增2例死亡病例,累计达1580例。当天也是从今年5月4日以来,新加坡单日新增确诊病例数新低。截至8月20日,新加坡全国人口中的93%已完成基本疫苗接种程序,79%注射了加强针。
据《联合早报》21日报道,随着新加坡疫情趋稳,政府将进一步放宽戴口罩的规定:民众只有在公共交通工具上,以及在诊所、医院和疗养院等场所才须戴口罩。学生在学校上课时不必戴口罩。新加坡总理李显龙表示,政府抗疫跨部门工作小组将公布详情。在公布之前,人们先别急着摘下口罩。
新德里电视台援引印度卫生部22日上午公布的数据说,在过去24小时里,印度新增9531例确诊病例、36例死亡病例。(完)