新华全媒+|一位高铁列车长的62个闹钟******
“重点旅客到站。”1月9日17点45分,随着一阵闹铃声响起,列车长郎茜快速扫一眼手机提示,快步向8号车厢方向走去……
33岁的郎茜是中国铁路上海局集团有限公司南京客运段值乘D2281次列车的列车长。这趟复兴号列车由南京南站发至深圳北站,运行里程超1930公里,途经江苏、上海、浙江、福建、广东等5个省市。
9日是春运开启的第三天,D2281次列车运送旅客4780人次,大量乘客挎着大包小包踏上归乡旅途。“这是疫情防控政策进一步优化调整后的首次春运,旅客数量激增,也对我们做好服务提出了更高要求。”郎茜说,这是她经历的第13次春运。“进入春运后,我的闹钟设置明显变多了。”
1月9日,郎茜等待列车到站协助盲人夫妇安全下车。新华社记者季春鹏 摄
临近傍晚,郎茜得知一对盲人夫妇将在漳州诏安到站,便提前设置闹钟重点关注。快到站时她将夫妇俩引导至车门处方便下车。“三年没回家过年了,感谢你们,终于到家了!”盲人旅客陈景山说。郎茜与安全员将陈景山夫妇小心搀扶下车,送到诏安站值班员手中,随后值班员将引导这对夫妇出站与家人会合。
这一幕是郎茜值乘服务的一个小缩影。2013年,郎茜走上列车长岗位。每逢工作当天凌晨4点30分,她就被第一个闹铃声唤醒,快速起床洗漱,随后开启一天的值乘工作。去年10月起她开始值乘D2281,新线路需要学习的地方多,她便尝试动态“闹钟法”帮助自己快速适应。
1月9日,郎茜在列车上服务旅客。新华社记者季春鹏 摄
“手机闹铃成了我最好的‘小秘书’。”郎茜说,她手机里的闹钟在设置界面不停增增减减,零碎地记录下一天工作的众多细节,最多时一趟列车值乘下来设置过62个闹钟。“当时只想着千万不能忘了旅客的需求,后来一看手机才发现,闹钟设置了好几页。”郎茜说。
1月9日,郎茜展示她设置过的部分闹钟。新华社记者季春鹏 摄
踏上列车,郎茜先巡查车厢。她从第一节开始认真检查,查看灭火器有效期,按下厕所冲水按钮看水压,查看卫生间是否消毒,听听广播音量是否合适……每一个细节都不能忽视,当所有车厢检查完毕,车站开始响起旅客放行广播。
“旅客安全出行是我们最大的责任,作为一名列车长,首先要把好安全关,做好现场作业和安全卡控,确保列车和旅客安全。”郎茜说。
“D2281的开行便利了许多往返长三角与珠三角的旅客。”郎茜说。6号车厢的乘客王磊是潮汕一家医美机构市场部的负责人,因为美容仪经销商在常州,王磊每月都要往返长三角与珠三角。由于美容仪较大,上车时郎茜就帮助王磊收起大件行李柜的隔板,同时协调其他乘客摆放好大件行李。
下午6点10分,郎茜的闹铃又响了。5分钟后,她便与另一位乘务员协助王磊把美容仪在潮汕站安全送下了车。车门缓缓关上,郎茜向王磊挥手致意,转身又投入到紧张的工作中。(记者刘兆权、何磊静、杨丁淼)
【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)