【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
警惕!日本首相访美,释放多重危险信号******
中新网北京1月13日电(记者 甘甜) 当地时间1月13日,日本首相岸田文雄开启任上首次访美行,将与美国总统拜登在白宫会晤,以求进一步深化日美同盟关系。
但会谈还未开始,日媒却惦记上中国,字里行间不断鼓噪“抗衡中国”,谋求扩军备武。其背后所释放的“危险信号”,值得警惕。
资料图:日本首相岸田文雄。岸田访美,旨在“抗衡中国”?
岸田文雄从9日起开始欧美五国访问。美国,无疑是最为重要的一站。
连日来,日媒频频“放风”,称拜登回应日方请求、决定与岸田举行会谈,是因为“与中国的竞争成为最优先课题”。
日美外长、防长也于11日在华盛顿开会预热。日本共同社称,日美高级官员同意中国对“印太地区构成最大的战略挑战”,宣称要加强威慑,将两国安全条约的范围扩大到太空。
在日美首脑会谈中,两国还可能聚焦哪些议题?
据多家日媒消息,拜登与岸田将讨论俄乌局势、气候变化以及经济问题。岸田还将介绍在新版《国家安全保障战略》中提出的彻底强化防卫力和大幅增加防卫费。
消息人士透露,双方拟就加强核能发电和液化天然气(LNG)等能源领域合作达成共识;为“抗衡中国”,在包括半导体、人工智能(AI)、量子等尖端技术在内的经济安保领域扩大合作。
会谈后,双方预计将发表以安全保障为中心的联合声明,强调推动“自由开放的印太地区”的重要性,并再次确认《日美安全保障条约》第五条适用于所谓的“尖阁诸岛”(即中国钓鱼岛及其附属岛屿——记者注)。
中国社会科学院日本研究所研究员吕耀东认为,日本将借首相岸田此访进一步渲染“中国威胁”。从炒作南海问题,到宣称乌克兰危机可能会在东亚发生,如何应对这些所谓的“地区威胁论”,或将是此次会谈的主要内容。
资料图:停泊在日本横须贺美军基地的美国“里根号”核动力航母。日本想要“成为矛的一部分”
近段时间以来,日本野心外露,不满足于过去自卫队作“盾”、美军作“矛”的分工,也想“成为矛的一部分”。
2022年底,日本政府正式通过三份重磅安保政策文件。其中,新版《国家安全保障战略》宣称,日本应拥有“反击能力”,即“对敌基地攻击能力”。
日本政府2022年底还通过了2023财年政府预算草案,防卫预算达68219亿日元。其中,购买美制“战斧”巡航导弹预算为2113亿日元,获取远程攻击性导弹及相关预算高达1.4万亿日元。
吕耀东表示,值得注意的是,继美国发布“国家安全战略”后,日本也敲定了三份安保政策文件。也就是说,“过去日本的安全由美国来保护,而现在日本也要保护其盟国美国,因此其自称需要攻击性武器。”
外交学院国际关系研究所教授周永生还指出,“日本拥有‘反击能力’后,等于过去所说的‘专守防卫’政策被抛弃,和平宪法也被架空,出现了和战后自我约束的军事战略完全不同的、没有任何约束的军事战略。”
日本在军事“松绑”的路上越走越远,引发多方担忧和反对。
从东京首相官邸门前到广岛市内,日本民众发起抗议行动,高呼“不准增加军费” “反对大增军备和大增税”,抨击三份安保政策文件是违反宪法的“暴行”。
还有日本民众直言,“日本政府增加军费投入,这肯定威胁到我们的生存。这是绝对不应该做的政治行为。”
近日,韩国外交部负责人重申政府既定立场,即日本的国防国安政策要“朝着有利于地区和平稳定、坚持和平宪法精神的方向,公开透明地运行”。
中国外交部发言人汪文斌日前也强调,中方再次敦促日方恪守中日四个政治文件各项原则,切实将“互为合作伙伴、互不构成威胁”这一政治共识体现到政策上,落实到行动中,尊重亚洲邻国的安全关切,在军事安全领域谨言慎行。
1月11日,华盛顿,日本防卫大臣滨田靖一(左)与美国国务卿布林肯(右)握手。岸田为何此时对美“投怀送抱”?
就在岸田政府向美国“投怀送抱”之际,其国内执政却危机四伏。
2022年底,日本内阁陷入“辞职多米诺”,多名成员因政治资金使用等问题相继辞职。岸田本人也被曝政治资金收支报告中有近百张“空白发票”,引发争议。自民党一些要扳倒岸田势力的反对派,还在利用他提出的“通过增税支撑防卫费”问题施压。
丑闻不断,岸田内阁支持率持续走低。自1月7日起为期3天的舆论调查结果显示,岸田内阁的支持率仅为33%。另一项日本全国最新舆论调查则显示,46%的受访者认为岸田应在2023年上半年辞职。
在此情况下岸田为何要外访,就不难判断了,周永生指出,“过去一旦内政出现问题、支持率下降,安倍就会借用外交手段,岸田也学会了这招,想寻求美国支持,减少内部压力,同时通过此次访问取得外交成果,挽回低迷的支持率。”
但如今的日本物价高涨,经济数据表现疲软,民众叫苦不迭,岸田政府若不顾民众声音,执意制造分裂对抗,其谋算或许终难如愿。(完)
(文图:赵筱尘 巫邓炎) [责编:天天中] 阅读剩余全文() |