【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
这个特别的日子普京单膝跪地,致辞释放三大讯息******
中新网2月3日电 (记者 孟湘君)纪念碑前敬献花圈并默哀,音乐会上发表致辞,会见爱国与青年组织代表……
日前,以这样的方式,俄罗斯总统普京表达了对斯大林格勒保卫战胜利80周年的纪念。
距普京下令俄军对乌克兰展开特别军事行动满一年,只有20多天了。在这样一个战争历史和现实考验交织的特殊时刻,普京的一举一动,自然让西方媒体高度关注。它们希望搞清楚,普京究竟释放了一些什么样的重要讯息。
当地时间2月2日,普京在伏尔加格勒马马耶夫库尔干纪念馆,为苏联元帅崔可夫献花。
第一个讯息:不要忘了历史教训
2023年2月2日,普京前往曾经的斯大林格勒,追忆战争岁月。那里在20世纪60年代,更名为伏尔加格勒。
伏尔加格勒的马马耶夫山岗上,矗立着“祖国之母”巨型雕像,陈设着有长明火的荣军殿。普京步入荣军殿献花,并默哀一分钟,缅怀当年的阵亡将士。
其后,普京前往斯大林格勒战役主力战将崔可夫墓前,单膝跪地,献上鲜花。
俄罗斯伏尔加格勒马马耶夫高地上被点亮的“祖国之母”巨型雕像。
“我们在此庆祝我国乃至全世界历史上一个最具决定性的重要日子。”
“80年前,在斯大林格勒这片土地上,在伟大的俄罗斯伏尔加河河畔,万恶、无情的敌人被永远赶了回去。”
“漫长、艰苦、激烈的斯大林格勒保卫战”已经结束。
在纪念斯大林格勒保卫战胜利80周年音乐会上,普京的致辞,勾起了俄民众对当年那场残酷战役的回忆。
资料图:克里姆林宫墙附近的无名烈士墓。
1942年7月17日开始,次年2月2日结束的斯大林格勒战役,是苏联军队在约10万平方公里区域内与德国法西斯的激烈交战,双方数百万人陆续参战,以苏联获胜告终。
这场战役,因规模、持续时间和参与人数等,被评为二战期间最大战役之一,伤亡人数也创下纪录。俄罗斯卫星通讯社统计显示,纳粹德国损失约150 万人,苏联方面损失约113万人。路透社评价,这是二战“最血腥的战役之一”。
“普京在提醒世界,不要忘了战争残酷的过往”,评论指出,这是他发出的一个讯息,意在提醒和告诫西方一些人,二战的教训应一直被铭记下去。
第二个讯息:不怕西方援乌,俄有后手
不过,引起更多关注的,是普京的另一番话。他在致辞中特别指出,“这件事难以置信,却是事实——我们再次受到带十字的德国豹式坦克的威胁”。
资料图:德国“豹II”主战坦克。
他将此举形容为“现代面目的纳粹主义”,并进一步指出,有人“正将德国拖入新一场与俄罗斯的战争”,“我们一次次被迫击退西方集体的入侵。”
十字标记、德国坦克、纳粹主义……普京点明的这些元素有何含义,以及推动德国松口向乌提供进攻性武器的是谁,再清楚不过了。
1月25日,德国政府宣布,决定为乌克兰组建两个坦克营,第一阶段从联邦国防军库存中,抽调14辆豹2A6坦克交予乌方。
俄一架图-95MS轰炸机前摆放着14枚导弹。图片来源:俄罗斯国防部
对于西方国家对乌供武问题,普京的态度早已摆在桌面上。俄外长拉夫罗夫指出,任何包含乌武器的物资,都将成为俄方“合法打击目标”。普京此次就强烈警告称,“我们有能拿来回应的,事情不是用上装甲车就能结束的”。
至于拿什么来回应,普京没有明说。但无疑,这是在向西方国家隔空喊话:你们的意图我清楚;事情还没结束;俄罗斯还有后手。总之,“走着瞧”。
俄国家杜马主席沃洛金则更直白地放话称,德国派出与俄作战的坦克将面临和80年前德国法西斯坦克一样的命运,那就是被烧毁。
资料图:乌克兰切尔尼夫,一名男子在一辆被毁的坦克旁骑车。
德国联邦国防军退役中校罗斯也对俄卫星通讯社分析,德国对乌克兰这种供武举动,是为保持乌军作战能力和士气“不会彻底崩溃”。
因为其一,耗时间。
罗斯指出,按北约标准训练坦克手操作坦克,至少需一年,坦克本身要按应对乌战事条件的准备交付,也需时间。
其二,数量少。
这一批德国供应的坦克数量为14辆,罗斯不认为用区区14辆坦克,就能扭转战事局面。
其三,耗资源。
他表示,考虑到俄空军正有目的地销毁乌能源基础设施,而德国“豹式坦克消耗的燃料不少,乌军将“遇到麻烦”。
何况,俄军在带自动制导、侦察无人机的反坦克导弹系统帮助下,很容易将德国坦克作为目标瞄准。
罗斯反问道:“除心理影响外,目前的(坦克)交付还能带来什么样的战术价值?”
第三个讯息:新的有生力量、新的动向
在斯大林格勒保卫战胜利80周年纪念日之际,普京还会见了俄罗斯社会爱国与青年组织代表,并发表讲话。
- 当地时间2月11日,俄罗斯喀琅施塔得,军事历史俱乐部成员重演斯大林格勒战役。图片来源:东方IC 版权作品 请勿转载
“需要生活在当下并向前看,但是不了解过去就没有未来”,“没有过去记忆的人民不会有未来”,他对参与会见的代表们说道。
普京同时表示,“所有这一切都是我们珍视的,发展和前进的基础”,“我们的首要任务是保护俄罗斯,为其继续发展和强大创造条件”。
当年参与斯大林格勒战役的,不少是十多岁、二十多岁的年轻人,而一项全俄社会舆论研究中心的调查曾显示,超过30%的俄罗斯年轻人对这段沉痛的历史,知之甚少。
资料图:俄罗斯二战老兵亮相斯大林格勒保卫战纪念活动。有分析认为,普京选择在纪念日之际与爱国与青年组织会谈,一方面是表达历史需要当代青年加深认识和传承,一方面也是为俄在乌军事行动的大规模动员造势,培养新的有生力量以弥补战场损失。
1月时,俄国家杜马国防委员会主席卡尔塔波罗夫曾表示,该国2023年春季征兵时,可能将年龄条件放宽至30岁以下。
按乌防长列兹尼科夫的说法,俄方已动员多达“50万名士兵”,尝试在2月24日对乌行动满一年之际,发动“新的重大攻势”。
列兹尼科夫称,莫斯科准备以此“纪念”俄在乌开展特别军事行动满一年。而俄方并未置评。至于新“攻势”何时到来,乌克兰局势会不会就此迎来重大转折,或许不久就能知晓。(完)
中国网客户端 国家重点新闻网站,9语种权威发布 |