【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
“无偿军援”泡汤,岛内舆论质问:美国的承诺可靠吗?******
【环球时报特约记者 程东】继参众两院分别表决通过总额高达8579亿美元的“2023财政年度国防授权法案”后,拜登签署了法案。民进党当局最期待的“无偿军援”泡汤,美国改为5年提供台湾100亿美元军援,舆论纷纷质问美国的承诺可靠吗?
美国“2023财政年度国防授权法案”涉台部分超过50页,是有史以来最长篇幅。内容涉及军事援助、对台军售、反制大陆以及美台交流等一系列议题。台湾《联合报》25日称,最受关注的是对台军援,法案授权2023—2027年通过美国国务院“军事融资”计划,提供台湾100亿美元无偿军援,每年最多20亿美元。不过根据美国立法规则,授权法案仅制定开支项目,只有拨款法案有权决定财政资金如何支配。而“2023财年综合拨款法案”并未拨款提供台湾无偿军援,仅提供最多20亿美元的贷款。美国《华尔街日报》称,台湾当局希望获得美国的无偿军援,而非贷款。但美国参议院拨款小组副主席、曾赴台强力推销波音客机的共和党参议员格雷厄姆称,对台贷款比赠款更合理,因为台湾很富裕。
其他方面,“国防授权法案”授权美方为台湾打造包括弹药及其他“适宜防卫武器”的“区域应变军备库”,并赋予台湾与北约组织南翼与东南翼地区、特定主要非北约盟友及菲律宾同样待遇,能优先取得美国“超额防卫物资”,同时煽动邀请台湾参加环太军演。此外,“拨款法案”在美国在台协会(AIT)预算下编列所谓“台湾学人计划”,提供包括美联邦政府官员等符合资格的美国公民赴台交流两年。
大陆国台办发言人朱凤莲24日回应说,这进一步表明美国内有一股势力挺台遏华贼心不死,企图在军事上武装支持“台独”分裂势力,为其递刀子、送枪炮,鼓动两岸对抗,在台海拱火,把台海推向战争边缘。她抨击民进党当局出于“台独”政治目的,顽固“倚美抗陆”“倚美谋独”,但“台独”没有出路,“倚美谋独”是绝路,任何人都不要低估中国人民捍卫国家主权和领土完整的坚强决心、坚定意志、强大能力。
台“国防部”和“外交部”24日称,法案“展现对台美关系及强化台湾安全的高度重视,敬表诚挚感谢”。《联合报》25日直言,简单来说,这是卖武器又顺便贷款给台湾,台湾“千万别高兴太早”。资深媒体人黄智贤称,美国光是用AIT在台湾指挥,已经不够用了,现在公然直接派公务员到台湾公务部门上班,“谁敢公开宣示,说上台绝对坚决抗拒美国?绝对不会对美国腿软下跪?”她说,不敢抗拒美国对台湾的控制,还说什么台湾人的尊严?
据《中国时报》25日报道,一项由美国杜克大学教授针对台湾安全进行的最新民调显示,当被问到“如果因为台湾宣布独立,大陆攻打台湾,美国政府会采取何种对策”时,选择“只提供武器”的人最多,占44.4%,然后依次为“出兵援助”(19.3%)、“只提供军事以外的援助”(13%)以及“什么都不做”(12.9%)。当被问到“台湾应加强军力还是采用比较温和的政策,以避免制造两岸紧张关系?”时,选择“采用温和政策”的人达到63.6%。调查团队成员表示,台湾民众实际上是看到美国如何援助乌克兰的情形后,“有了这种领悟”。
台湾中国文化大学政治研究所教授杨泰顺25日称,台湾未能争取到无偿军援,与美国预算拨款制度有一定关系,但“换个角度看,也只有美国这个制度,可以把台湾这个棋子玩得淋漓尽致”。《联合报》25日称,台湾如何不成为美国“抗中”的马前卒,进一步化解美国的压力,需要当局有智慧处理以及多数民众的认识与觉醒。
(环球时报)