【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
@回家的你 春运出行这些安全隐患别忽视******
临近春节,人们外出增多,有的驾驶人为了图一时方便,将乘客和货物一起塞入车厢内,殊不知这种人货混装的行为,会给行车安全埋下很大安全隐患。
乘车不规范 人货混装生隐患
近日,陕西渭南高速交警在京昆高速韩城服务区例行检查时,发现一辆面包车后面两排座椅上的四名乘客都没有系安全带,旁边堆放着大包小包的行李。
原来,驾驶人郭某当天带着家人从河北保定前往四川达州探亲,由于拉载的行李过多,他便将后备厢放不下的行李堆放在座椅上,丝毫没有意识到这一行为的危险性。
高速交警 王奕超:人货混装是非常危险的行为,特别是在高速公路上行驶时,一旦车子发生紧急情况、刹车或转弯时,车内的货物很可能受惯力作用发生翻滚,极易砸伤车内人员,存在严重安全隐患。
前些天,高速交警在东昌高速江西抚州服务区发现一辆7座小车,里面部分座椅被拆卸,两名乘客就躺在车厢里。
驾车出行 请提前检查车况
春运期间,驾车长途出行需求增多,驾驶人出发前首先要对车辆安全情况做好检查,谨防车辆在行驶时发生突发情况。
近日,山西高速交警在视频巡逻时发现,一辆重型半挂牵引车在驶入高速后不久便停在了匝道口处,既没有开启报警闪光灯,也没有摆放警示标志,随后,驾驶人下车围着车子检查,周边不时有车辆驶过,交警立即电话联系了驾驶人,确认其车辆可以正常行驶后,要求其立即从前方收费站驶离高速。
交警在随后的检查中发现,这辆车子的水箱管路一直漏水,而驾驶人只是随意处理一下,并没有完全消除安全隐患,这就导致他在行车过程中时不时就要下车查看,而且现在正值寒冬,滴在路面的水很容易结冰给其他车辆造成安全隐患。
交警责令驾驶人立即消除安全隐患后再上路行驶,并对其车辆发生故障后未放置警示标志的行为处以罚款200元,驾驶证记3分。
还有修平高速江西九江境内的一起自燃事故,原因是这辆车的使用年限较长,加之驾驶人很少对车辆进行检查维护,导致在行驶过程中电路出现问题。
交警提醒,春运期间路面车流量较大,在高速公路发生故障或交通事故、自燃等情况需停车时,应第一时间持续开启危险报警闪光灯,并在故障车来车方向150米以外设置警示标志,车上人员应迅速转移到安全地带并报警。
规范装载 谨防意外
临近春节,物资运输需求旺盛,干线公路交通流量将持续增长,大客车、大货车、危化品运输车、小客车等各类车型混合通行程度升高,交通拥堵和事故风险凸显。交管部门提醒,车辆上路一定要规范装载,谨防发生意外。
近日,广西来宾交警在蒙村镇地六村路段巡逻时,发现一辆轻型自卸货车存在严重的超高、超长、超载的违法行为。经查,这辆货车核载重量为1.1吨,可过磅检查时,交警发现该这辆车重量竟达33.46吨。
在检查过程中交警还发现,驾驶人欧某并未将车上的货物绑紧系牢,只是简单地用几根木头相互卡住,在这种情况下,木头一旦在车辆行驶过程中掉落,极易砸到周围的车辆及行人,引发交通事故。交警依法对驾驶人欧某的违法超载行为处以罚款2000元,驾驶证记6分。
前些天在沪渝高速湖北宜昌段,一辆半挂车在行驶过程中,运载的玻璃突然脱落,随后砸向后方正常行驶的小车,小车驾驶人在向左避让的过程中,差点儿撞上中央护栏,事故导致小车前挡风玻璃及立柱受损,所幸没人受伤。通过排查,交警锁定肇事大货车并联系上了驾驶人陈某。
经询问,驾驶人陈某当天从江苏运送一车玻璃前往重庆,因为玻璃捆绑过紧,也没有用软性包裹进行保护,导致玻璃破碎掉落引发事故,交警认定,事故责任由驾驶人陈某承担。交警表示,无论装载任何货物,货运车辆出发前都应做好货物装载检查,行驶中发现有货物遗撒请及时将车停于应急车道或驶入就近服务区,然后报警求助。(央视新闻客户端)
(文图:赵筱尘 巫邓炎)