【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
她们用匠心奉献爱心******
用纤手创造万物,用匠心重塑自然。不久前,浙江省宁波市鄞州区潘火街道纤源坊公益组织迎来五周岁的生日。庆典现场,金银彩绣、钩针、香包、绳编、布艺、剪纸等12种手工艺品让人眼花缭乱,向市民展示指尖的艺术。
从2017年到2022年,这支最早由4个人组建的公益团队现在已有20名骨干成员,慈善义工多达200余名。她们的公益足迹从鄞州走向海曙、江北等,甚至将服务延伸到了四川、河北等地。
一双巧手创造万物
“好巧的手,这条鱼活灵活现的!”在蔡珠佩的金银彩绣摊位前,有一群市民围观,大家时不时发出啧啧赞叹。一根极细的绣针在蔡珠佩的手中上下翻飞,演绎出一幅栩栩如生的“鱼戏红莲”图。
今年64岁的蔡珠佩正是纤源坊的一名女工巧匠。从14岁便开始学习刺绣,当时,刺绣已经成为她补贴家用的主要经济来源。“那时候我做刺绣,家里其他人都务农,但我刺绣赚来的钱比他们加起来都要多。”说起自己的手艺,蔡珠佩一脸自豪。婚后,她跟着丈夫务农,直到老屋拆迁后,生活安逸了很多。如今,宁波金银彩绣已经成为国家级非物质文化遗产。为了让这些赋闲在家的“失土”妇女用一技之长参与公益,潘火桥社区成立纤源坊手工艺工作室。就这样,蔡珠佩“重操旧业”,成了最早加入的慈善义工。
“做布艺,让我能静下来,品位指尖文化!”43岁的杜春萍同样是纤源坊一位拥有8年布艺经验的达人。最近,她计划推出“卯兔”系列布艺作品,迎接即将到来的兔年。
从“百年红船”纪念徽章到“虎年”定制胸针,再到今年的“绿马”,这群巧手阿姨们的手工制品,一次次“出圈”。5年来,纤源坊一步步发展壮大,纤源坊的骨干义工个个都有一技之长。香包、剪纸、钩针、布艺……摊位上的手工艺品,让大家忍不住停下脚步。她们不光会女红,而且会制作各种宁波传统美食,酒酿、灰汁团、乌米饭等,庆典现场的美食摊位人气爆棚。
初心不会改变
2020年12月,鄞州区蔡氏纤源坊社会工作服务中心正式在民政局登记注册,成为真正意义上的法人社会组织。手工作品所得款项,都用于公益事业。现场的展示板上,留下了她们的公益足迹:走进学校开展手工制作培训,走进社区教老年人做手工,慰问抗疫一线“白衣天使”……
她们用纤手创造艺术品,也用纤手铺就了一条大爱之路。五年来,纤源坊已经累积了7万多元的公益善款,从起步时的接受街道社区“输血”,逐步成了一个具有自主“造血”能力的社区社会组织,用公益反哺社会。
在社区的传奇里小区,有一个罹患白血病多年的孩子,母亲一个人将孩子拉扯大。“他爸爸想放弃,如果我再不管他,这孩子就没救了,再难我都会坚持下去!”在一次活动中,这位母亲的话打动了骨干成员蔡萍儿。打那以后,纤源坊每年都会给孩子送去慰问金,鼓励这位坚强的母亲。虽然金额并不高,却是一份支持的力量。每年年初,这个公益组织都会给辖区的10户困难家庭送去慰问金,已经坚持5年了。
“我们做的手工制品,我们做的宁波美食,收到的每一分钱,都放入了我们的资金池,我们希望能用自己的一技之长去帮助更多的人。”纤源坊的本意就是以纤手创造万物,用匠心奉献爱心,蔡萍儿说,这个初衷不会改变。(赵得地 龚 静)