【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App�����,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题�����,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中�����,SDK恶意行为是指嵌入APP中�����的SDK自身产生�����的恶意行为。这种恶意行为将破坏使用SDK�����的APP�����的安全性�����,对用户权益�����、数据等方面造成严重威胁�����。典型�����的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取�����、上报和展示目标App提供者设定的目标不同�����,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户�����的情况下�����,隐蔽窃取用户�����的通讯录、短信息等个人敏感信息�����,隐蔽进行拍照�����、录音等敏感行为�����,并发送给恶意开发者�����;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利�����。
在SDK收集使用个人信息方面,安天移动安全发现�����,应用接入第三方SDK引发的违规收集个人信息问题较为普遍�����。其中�����,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况�����、SDK收集�����的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入�����的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现�����,其主要提供用户行为统计功能�����,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析�����,从结果上来看�����,该SDK 普遍存在违规收集和超范围收集个人信息�����的问题�����,并且在月活较低�����的 App 接入�����的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围�����的情况�����,并且涉及大量用户隐私路径数据�����的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集�����的个人信息类型为设备信息和 Wi-Fi 地址�����。而实际上传�����的数据中除了包含 WiFi 的BSSID名称信息外�����,还频繁上传用户安装应用的列表信息�����。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入�����的 SDK 中�����,收集个人信息范围、频度�����的必要性和最小化原则同样适用于SDK�����的功能业务场景�����。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围�����,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表�����,但实际除了收集安装应用包名信息外�����,还收集了安装应用运行状态信息等�����,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外�����,SDK自身还注册监听了多种广播消息�����,在监听到相关消息后则会触发数据�����的收集和上传行为。例如对解锁屏�����、电源连接断开事件进行监听�����、对用户终端安装�����、卸载应用行为进行监听,除此以外�����,还会监听应用前台�����、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为�����,热更新技术控制 SDK 行为,后台拉活�����、自动下载安装�����、误触下载等风险行为�����。
(监制�����:张宁 策划:李政葳 制作:黎梦竹)
生态环境部规范生态保护红线生态环境监督工作******
生态环境部规范生态保护红线生态环境监督工作
确保功能不降面积不减性质不改
本报讯 记者张维 生态环境部近日印发行政规范性文件《生态保护红线生态环境监督办法(试行)》(以下简称《办法》)�����。《办法》明确生态保护红线生态环境监督制度安排和具体工作要求,规范生态环境部门生态保护红线生态环境监督工作,最终目的�����是加强生态保护红线生态环境监督,确保生态保护红线生态功能不降低�����、面积不减少、性质不改变,提升生态系统多样性、稳定性�����、持续性�����,保障国家生态安全。
据介绍�����,生态环境部主要从谁来监督、监督什么、怎么监督、监督结果怎么应用四个方面开展生态保护红线生态环境监督工作。明确生态保护红线�����的监督主体�����;明确生态保护红线�����的具体监督事项�����,对生态保护红线生态环境相关制度制定与落实情况�����、生态保护红线调整对生态环境的影响、生态保护红线内人为活动对生态环境的影响等进行监督;明确具体�����的监督手段和措施,主要�����是通过对生态保护红线调整方案�����的生态环境影响提出审核意见,依托生态质量监测网络和国家生态保护红线监管平台,加强生态环境保护综合行政执法等�����;通过信息公开�����、纳入生态环境领域相关考核、纳入中央生态环境保护督察、开展生态环境损害赔偿�����、依法依纪依规移送查处问责等多种方式,形成监督闭环,强化监督结果应用�����。
(文图:赵筱尘 巫邓炎) [责编:天天中] 阅读剩余全文() 视觉焦点下一代PlayStation支持PSVR 这一次,特朗普突然说感谢中国
推荐阅读 彩神彩票玩法许嵩:唱过人间的那些情爱 2024-01-04 彩神彩票娱乐 谈恋爱太累,一个人太寂寞 2024-06-18 彩神彩票官网五个要素教你跑步不伤身 2024-04-26 彩神彩票攻略哈登赛后谈论判罚:我只是想得到一个公平的机会 2024-06-07 彩神彩票计划群这样的佩莱还需要轮换吗? 2024-08-25 彩神彩票论坛乐清母亲策划儿子失联虚假警情 一审被判1年3个月 2024-05-16 彩神彩票app下载中国唯一西部陆海新通道融资结算应用场景:便利百余国家及地区贸易 2024-06-08 彩神彩票登录体育馆断电观众手机照亮现场 2024-07-22 彩神彩票计划 欧冠-萨拉赫传射 利物浦总比分6-1晋级 2024-02-06 彩神彩票开户脱欧延期改变英国人度假习惯 非欧盟国家受青睐 2024-07-27 彩神彩票技巧国庆北京首贼大兴落网 身藏6部手机数张银行卡 2024-08-06 彩神彩票投注北京世园会最全出行攻略,请收好! 2024-04-01 彩神彩票注册网立夏后这些生肖财运来临!横财挡不住! 2024-04-11 彩神彩票APP华谊兄弟净利亏损12亿 冯小刚需赔近7000万 2024-01-27 彩神彩票网投明明可以靠颜值却非要靠价格实力,宝沃BX7全国15.90万起 2024-04-10 彩神彩票下载【#火箭勇士裁判# 承认漏吹4次三分犯规!12分!】#勇士赢火箭# 1 2024-10-10 彩神彩票app零度角 | 日本想东京干掉国乒?刘国梁一招盘活全局 2023-12-02 彩神彩票漏洞《追龙Ⅱ》定档6.6 梁家辉古天乐双雄争霸 2024-07-26 彩神彩票手机版APP林则徐销烟被撤职后,关天培誓死捍卫国家尊严 2024-04-26 彩神彩票官方在闭环内如何感受中国文化?官方这样介绍 2024-08-08 彩神彩票规则 快讯 | 国家卫健委:我国儿童青少年总体近视率达53.6% 2024-08-27 彩神彩票客户端下载搜狗发布2019年Q1财报:收入超17亿元,同比增长8% 2023-11-21 彩神彩票官网平台天津市最大民企“二代”正式接班:张君... 2023-11-29 彩神彩票返点女星花7亿离婚:凭本事单身多酷 2024-06-14  ) 彩神彩票地图 |
微信好友 
朋友圈 
