【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
强化干部作风建设,这里通报公职人员着装问题******
中新网北京2月2日电(记者 阚枫)新春开启,多地将干部作风建设作为新春开工的首要之事进行部署,有地区还通报了公职人员开会着装问题。
开工首日的会议,多人被通报
近日,拉萨市城关区纪委监委发布一则关于违反会风会纪情况的通报,通报显示,1月28日,新春首个工作日,城关区委召开进一步改进作风狠抓落实工作推进会暨“作风建设年”动员会,这次会上,城关区纪委与城关区委效能办对会场会风会纪进行了全程监督。
按照纪委监委发布的通报,这次会上多人因为迟到被点名通报,多人迟到长达50多分钟。通报中还点出“会议着装方面,普遍存在着装不统一、里穿正装不脱外套的现象”,通报称,如再次出现相关问题,将点名道姓通报,从严处理。
通报称,着装问题看似是小事,实质是干部精神风貌的展示,是纪律意识不强、规矩意识淡薄的一种表现,是自我要求不严、工作作风不实的一种体现。
多地曾通报公职人员着装问题
干部因着装问题被通报,上述案例并非首次。
2017年1月,河北深州市纪委对违反会纪的32名干部进行点名通报,其中包括14名“一把手”被约谈,起因是在深州市委五届七次全会上,督查中发现22名公职人员未按规定着装,10名公职人员着装不规范。
当时,深州市纪委负责人表示,“只有管住小节,才能守住底线,如果连穿着正装这样的‘小节’都不能做到,连会议的纪律都不能遵守,那么全面从严治党就无从谈起。”
不仅开会着装的问题被通报,机关工作人员的日常着装问题也曾被通报。
2017年5月,辽宁盘山县政府办公室曾发布一则有关单位机关工作人员着装检查情况的通报。通报提到,部分单位工作人员仍然存在穿运动服、无领衫、露肩衫、运动裤、牛仔裤、运动鞋、凉鞋、拖鞋等情况,着装与仪表不符合端庄、稳重、大方、干练等国家机关工作人员形象礼仪的要求。
公职人员着装有啥要求?
近年来,多地曾专门就机关工作人员着装问题进行过规范,一些地区还专门出台具体标准。
2022年1月,江西抚州市直机关工委发布《关于规范市直机关干部着装和严格上下班工作纪律的通知》,通知除了明确机关干部出席正式、隆重、严肃场合应着正装,还提到机关事业单位工作人员进入办公场所,不得着奇装异服、居家服等服饰。着装不得过于炫耀,要保持服饰整洁。
通知称,女同志不得穿低胸装、露背装、露肩装、露脐装,不得穿超短裙、透视装、吊带装、紧身装、艳色装;男同志不得穿背心、短裤。此外,机关事业单位工作人员进入办公场所,不得佩戴离奇饰品,不得穿拖鞋,不得穿超高、带声响的高跟鞋,不得纹身。
2017年7月,媒体报道陕西咸阳市彬县对机关工作人员上班期间的仪容仪表进行详细规范,诸如,男同志不留长发,不蓄胡须,不佩戴饰品;女同志发型、发色适宜,化妆要淡、雅、素,不涂彩色指甲,不使用浓烈香水。不穿过于单薄、透视、紧身的服装。报道称,县纪委将不定期进行暗访督查,发现问题立即全县通报,并追究相关人员责任。
2016年,江西省委办公厅、省政府办公厅下发《省直机关工作纪律要求》,针对省直机关工作人员提出十条工作纪律,其中包括“不准穿背心、短裤、拖鞋和奇装异服上班”等。
如何避免矫枉过正?
近年来,部分地区有关干部着装的标准或通报发出之后,舆论中,不少网友认为对机关干部工作期间仪容仪表规范,确有必要,但是也有声音担心将着装问题“上纲上线”,过度问责。
对此,中央党校(国家行政学院)教授竹立家对中新网记者表示,公职人员在工作期间的着装问题应分类讨论,对于公检法、市场监管等有统一着装要求的行政执法部门来说,执法人员在工作期间应按相关要求着制式服装,对于其他公职人员来说,工作期间特别是在严肃场合应注意着装得体。
同时,竹立家称,对公职人员的着装事项,可以引导规范,但也应注意人性化管理,杜绝纪律扩大化,防止滋生新的形式主义。(完)
(文图:赵筱尘 巫邓炎)