【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
我的丈夫 我的蜜月******
范瑞娟(1957年2月)
1月1日,这是个多么令人喜悦的日子。旧的过去,新的来临了。我和伯鸿就是这一天结婚。
结婚的前几天,我们要到区人民委员会去登记,临去之前,我和他开了一个玩笑。我对他说:“结婚登记处的人为了执行婚姻法,对于男方询问得特别详细,你要小心准备了。”他却若无其事地说:“一切事情都可公开,既合法又合道德,不用愁虑。”我笑了笑告诉他:“人心难测的,就有这样两位青年男女,他们交往了一个时期后,到政府去登记结婚。登记处的人问女方结婚是否自愿,女方没有表示,急得男方满头大汗。最后女的摇了摇头,登记就没有成功。假如我们的事我也摇摇头,看你怎么办?”他调皮地说:“你要会摇头的话,祝英台就不会为着真正的爱情去牺牲了。”我不由得大笑起来,我知道他这句话是因为我经常扮演梁山伯而说的。
新房里的重逢
结婚,事先没有通知别人。可是,那天上海越剧院的朋友都来了。演夜场的,下装之后还赶到我们家里。尽管我们准备了吃的和玩的招待他们,可是总有一点不放心,因为院里有好些人是闹新房的能手,尤其一个做音乐创作的朋友不好办,只要他在场,非要把人闹得够受不可。为此,在新房里真叫我又喜又怕。可是,事件的发展又往往出人意外,当我担心的那位先生随着众人拥进了新房之后,伯鸿和他都怔了,原来他们是分别了8年彼此不知下落的老朋友。由于这个意外的重逢,这次闹房得以安全度过,我们在大家的要求之下合作穿了针,互相喂了糖,报告了恋爱的经过之后,大家就放过我们了。
袁雪芬、傅全香都要送礼,被我阻止了。但送礼的人还是有。最有趣的是我的文化老师,她送给我们一对花烛。这对散放着柔和光彩的花烛,给我们的新房里增加了不少喜悦气氛。当最后一个贺喜的人离开之后,它仍旧燃烧着,按照婆婆的意见,靠近烛台的墙上,悬着一个福禄袋,因为找不到铁剑,我把那把跟着我受尽风霜在舞台上用的铁剑配在上面。
有缘千里来相会
“有缘千里来相会,无缘对面不相逢,”这是伯鸿刚才回答闹房者的话,它却一直在我心头萦回。我和他在相识之前,已经有了长时间的通信。他的妹妹是我的朋友,通过她使我对伯鸿的家庭,以及他幼年时代的生活,有了透彻的了解,真像我们在一起长大的一样。去年9月,我们第一次相见,不知怎的,自此以后,他的形影深深地刻在我的心头,再也移不掉。终于我和他结成了终身伴侣。
对于婚姻问题,我过去的确不打算考虑的。准备趁自己年轻把自己演戏所得积蓄点钱,将来隐避到乡下去度过艺人在旧社会都不可避免的悲苦的晚年。但是,中国解放了,一切都变了。对于整个社会,我由痛恨而热爱,我爱一切,第一次感到生活意志的旺盛。现在,艺术成了我的生命,我要把我的一生,献给祖国的艺术事业。
在蜜月里
结婚之后,我们到苏州去游玩了几天,然后在上海度过了蜜月。在这些日子里,伯鸿仍到中国青年报上海记者站工作,我每天也到越剧院去。早上,伯鸿知道我睡得晚,又是易被惊醒的人,他总是抱着衣服轻步走到外室去穿。晚上,我回到家里,他已经静静地坐在桌前看书了。他总是把他从书上看到的或者采访中遇见的“故事”一一讲给我听。有时候我们一起去观看越剧,回家以后,我要他提些意见,他却笑笑默不作答。怎么办呢?我就用这样的话去激他:“原来嘛,你对越剧是没有感情的。”于是他急了,不得不将他的意见原原本本地讲出来。他是爱好戏剧的,同时还爱好音乐。当院里正在讨论音乐问题时,我把我的看法提出来和他商量;也是这样,开头他总是默默无声,到后来才将自己的见解详细地发表。我们谈了很多问题,有融洽一致的地方,也有分歧。我们总是这样结束我们的谈论:“我们懂得太少了。”因此,我们有个打算,要大量地买些书,提高我们的业务、知识和艺术修养。
我的丈夫
我的丈夫是一个对生活并不十分计较、对工作却十分热爱的人。有一次为了添置几件衣服,我拿回几个呢料的样品,问他喜欢哪一种。不料他淡淡地回答:“任何一种都可以。”一个月以来我还不知道他喜爱什么菜,仿佛他什么菜都很爱吃。可是这却使我这个作为妻子的人有些踌躇了。他认为:“我们的生活比过去好多了,不能够因为革命胜利而得意忘形,奢侈浪费。”他平日总是和颜悦色的,可是有一次我见到了他严肃的脸色。我对报社记者约我写稿表示讨厌,认为这是一件麻烦事。他批评我这样是不对的,并要我认真地写好那篇稿子。我觉得他的意见很正确,终于把稿子写成了。原来他对自己的职业是非常敬重和热爱的,这也影响了我,如我曾经考虑过:“现在我演小生,将来演什么角色呢?”在这种问题面前,他是十分果断的,他表示,我应该将小生演到底。我也就决定这样做。
慈祥的婆婆
1月底,我离开上海赴东北演出。路过南京时,在那里演出了两星期。伯鸿的父亲在南京工作,于是我又有机会和婆婆在一起生活了一段时间。开始我很担心,婆媳关系不好是常有的事,我的婆婆不知怎样。可是没有几天我就感到我婆婆是慈祥而热心的人,在我演出时间,她经常等候我直到深夜,在我临睡之前她跟我总要喃喃地谈些心里话。我们谈得十分投机,计划着将来如何生活,使每一夜过得都很有趣。我的担心成了多余,很快地我从我婆婆身上找到了我已去世的母亲的温暖和母爱。离开南京的那天,我和婆婆真是难舍难分。眼泪从她老人家眼里流下来,我也哭了。只能硬着头皮背身离开。新社会是幸福的,我在这幸福的社会里又得到了幸福的家庭。可是,我也不能摆脱幸福中产生的苦闷。我觉得自己的才能太少了,我觉得人民给我的荣誉太大了,国家给我的照顾太多了,我担心自己会辜负他们。怎么办呢?我已经定了进修计划,决心不畏艰难努力。
(1957年2月)