玛雅彩票赔率_玛雅彩票漏洞
玛雅彩票平台2023-01-31 16:05

【动画】@App开发者们,你想了解的SDK安全风险都在这!******

  日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。

【动画】@App开发者们,你想了解的SDK安全风险都在这!

  现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

【动画】@App开发者们,你想了解的SDK安全风险都在这!

  其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

【动画】@App开发者们,你想了解的SDK安全风险都在这!

  常见SDK恶意行为

  流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。

  在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

【动画】@App开发者们,你想了解的SDK安全风险都在这!

【动画】@App开发者们,你想了解的SDK安全风险都在这!

  除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型

  在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。

  由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。

【动画】@App开发者们,你想了解的SDK安全风险都在这!

  以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。

  国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

  虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。

  例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

  另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。

  (监制:张宁 策划:李政葳 制作:黎梦竹)

玛雅彩票赔率

国际锐评丨企图打“病毒牌”的美国政客应该听听科学理性的声音******

  “这不仅不会对限制病毒传播产生多大影响,也无助于全面评估全球病例增加带来的影响。”6日,美国传染病学的权威机构——美国传染病学会(IDSA)在社交媒体账号上发表声明,就美国对中国游客入境设限表示了异议。

  IDSA社交媒体账号声明截图

  不仅IDSA,近一段时间以来,很多流行病学家齐声呼吁,没必要对中国实施旅行限制。比如,巴斯德研究所(上海)的丹尼尔·法卢什教授说:“经验表明,旅行限制在缺乏其他措施的情况下收效甚微。”牛津大学进化和基因学教授阿里斯·卡祖拉基斯指出,针对中国的旅行限制“毫无意义”。欧洲疾控中心等专业机构明确表示,对来自中国的旅客施加限制措施不合理。代表欧洲500多个机场的国际机场理事会欧洲分会,日前也谴责了针对中国的入境限制措施。

  这些科学理性的声音,美国政客应该好好听听。美方企图打 “病毒牌”,结果被科学打了耳光,暴露了一贯的反智做派以及将疫情政治化的操弄。

  与新冠病毒的斗争是一场科学之战。但美国针对中国游客的限制政策是反其道而行之。

  从防疫措施看,人们记得,2020年疫情初期,美国就曾采取限制中国人入境的相关措施,结果是限制了个“寂寞”。由于忽视世卫等多方预警、消极懈怠防疫、搞党争内斗、热衷打政治牌等,美国疫情迅速暴发,沦为全球感染人数最多、死亡人数最多的国家。这足以证明,在不采取科学防疫措施的情况下,仅靠旅行限制对防疫没有作用。

  从病毒分析看,目前在中国流行的主要毒株之前已经在世界各地传播。比如,中国在2022年9月底首次检测出BF.7变异株,而根据全球共享流感数据倡议组织数据库,BF.7最早于2022年1月的法国样本中检出;2022年5月底,中国报告首例境外输入BA.5变异株感染者,而BA.5最早于2022年1月在南非样本中检出。这表明,当前中国流行的绝对优势毒株属于输入型。

  根据世卫组织1月4日发布的消息,中国国家卫健委提供的病毒基因数据显示,当前中国主要流行毒株同其他国家提交的中国感染旅客病毒基因序列一致,没有发现新变种或显著突变。《联合早报》报道说,全球共享流感数据倡议组织在中国当前疫情期间收集的病毒基因组序列显示,中国并未出现新毒株。美国卫生计量与评估研究所所长克里斯·默里表示,中国出现新变异株的风险“非常低”。

  相比之下,美国当前超过40%新冠感染病例是由xbb.1.5毒株引起的,xbb.1.5已经成为头号流行新毒株。因此要说防新毒株,也是中国防美国带来疫情风险才对,中国才是受害者。

  防疫最需要科学精神,反其道只会自食其果。人们记得,新冠疫情三年来,美国政客沉迷于政治私利、党派争斗,兜售“注射消毒剂可杀死新冠病毒”反智言论,打压说真话的科学家,将科学和理性精神糟蹋得体无完肤。

  去年12月以来,美国面临呼吸道合胞病毒、新冠和流感三重疫情,医疗系统几近崩溃。对此,美国政府没有采取任何全国性行动,也没有实施“口罩令”,对民众生命健康一如既往漠不关心。但看到中国优化防疫政策,美国政府却突然来了精神,“甩锅”推责、抹黑遏制中国的意图昭然若揭。

  那些沉迷于政治操弄的美国政客们不要忘了:三年来,反科学已经让美国人民付出惨重代价——超过1亿人感染、超过108万人死亡、25万新冠孤儿……与此同时,针对亚裔的种族歧视与仇恨被挑动,美国社会陷入更深撕裂。《纽约时报》5日指出,美国现在的做法与2020年初针对中国的旅行禁令如出一辙,是一种种族主义政策。

  防疫一败涂地,美国政客还要继续掩耳盗铃、践踏科学吗?他们如果执意在反科学路上一条道走到黑,就是对美国人民的犯罪,也必会遭到科学的惩罚。

  (国际锐评评论员)

中国网客户端

国家重点新闻网站,9语种权威发布

玛雅彩票地图