现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
探寻数字时代“科技之魅”******
【乌镇聚焦】
探寻数字时代“科技之魅”
——2022年世界互联网领先科技成果发布
光明网记者 李政葳 李飞
11月9日下午,作为2022年世界互联网大会乌镇峰会重要板块之一,世界互联网领先科技成果发布活动在乌镇互联网国际会展中心举行。
发布厅内,蓝色弧形大屏幕搭配四周蓝绿交融的灯光,再有激光、3D等技术加持,现场科技感十足。观众席座椅上放置的“科技之魅”手册,介绍了15项世界互联网领先科技成果概况。这批成果重点聚焦全球互联网前沿技术与应用发展,并更加关注互联网基础理论创新和技术应用创新。
“以互联网为代表的信息技术日新月异,日益成为创新驱动的先导力量。成果发布活动为全球互联网创新科技成果展示、交流、推广搭建了国际化平台,通过发掘全球科技示范成果,共同探寻网络空间发展的新趋势。”专家推荐委员会中方主任、中国工程院院士邬贺铨说。
5G已来,6G不远
自从2016年首次举办世界互联网领先科技成果发布活动以来,5G的身影几乎历年都不缺席。近年来,随着5G建设的持续深化、创新应用的不断扩展,业界更多考虑如何充分挖掘5G潜能,为用户提供更为极致的体验。
来自高通公司的“全球首个集成5G AI处理器的调制解调器及射频系统”——骁龙X70便入选其中。“它将开启5G智能连接的新时代。”高通公司全球副总裁侯明娟介绍了骁龙X70具备的技术首创、特性丰富、应用广泛等三大领先优势,期待该技术为智能网联带来行业领先的5G连接体验,推动行业变革。
爱立信带来了“5G时间关键型通信使能远程操控”成果,重点瞄准以远程操控、XR(增强现实)等为代表的时延敏感类应用。爱立信中国区总裁方迎介绍,通过这项技术可以实时监控网络和终端的状态,预测潜在卡顿,为用户提供流畅的体验。
5G已来,6G还有多远?北京邮电大学教授、鹏城实验室研究员陶小峰现场给出答案。鹏城实验室联合北京邮电大学等推出了“EAGLE 6G:面向6G无线高速接入原型系统及测试环境”。他表示,6G新一代无线通信技术已成为全球研究热点,“未来我们将不断提升6G创新生态体系实力”。
备受关注的IPv6相关成果也榜上有名。中国联通副总经理梁宝俊在发布“‘IPv6+’标准制定、设备研制、组网设计及规模应用”时表示,在IPv6规模商用的基础上,不断面向5G、工业互联网和算力网络新需求,积极开展“IPv6+”技术和应用创新,不断增强IPv6网络的融合承载能力,在提升用户体验的同时,也可以保障网络安全。
走向智能,走向安全
近年来,“数字孪生”成为热词。经过4年的研究和创新,微软公司的“微软第一方数字孪生产品”不断走向应用。发布仪式上,微软中国副总经理赵军讲解了微软“数字孪生”:这是一个由点到线构成的知识图谱,不仅具有数字孪生技术服务能力,而且能与不同的数字化平台相结合,进而构成跨行业端到端的解决方案。“开发者可以利用‘数字孪生’定义语言,对物理世界进行定义,跟踪和追测现实与历史的环境数据,并支持多系统的数据投入。”赵军说。
辨别一条信息的真伪需要多久?中科院计算所给出的答案是:“动一动手指,只需一秒钟。”近年来,中科院计算所数字内容合成与伪造检测实验室主任、中科睿鉴创始人曹娟的团队一直在与网络谣言斗智斗勇。“面对信息谣言这一风险与挑战,数字内容伪造检测技术便应运而生。”曹娟在发布“睿鉴数字内容虚假伪造检测系统和设备”时表示,该成果集大数据底座、硬件设备、AI平台、应用场景于一体,并在此基础上研制出虚假信息检测系统“睿鉴识谣”。“它可以辨别取证伪造痕迹,让虚假文本、虚假图片、虚假视频无处遁形。”
在过去7次世界领先科技成果发布中,来自卡巴斯基的代表3次站上舞台。本次他们发布的科技成果依旧与网络安全密切相关。在介绍“卡巴斯基安全远程工作空间(基于卡巴斯基操作系统)”时,卡巴斯基大中华区总经理郑启良讲述了“网络免疫”的概念。“我们将方法、理念、安全架构融入操作系统中,实现操作系统的‘免疫’。”郑启良介绍,该解决方案的创新性在于不仅将端点安全性提高到了以往难以达到的水平,还改进了IT端点的生命周期。
科技强“芯”,数据驱动
毋庸置疑,芯片技术是科技领域中最为重要的技术之一。本次成果发布中,龙芯中科的“龙芯3A5000/3C5000处理器芯片”也位列其中。“两个处理器(3A5000/3C5000处理器)的性能逼近或达到市场主流产品的水平,可满足行业信息化及云数据中心等应用需求。”龙芯中科董事长胡伟武说。
据了解,该成果已广泛应用于电子政务、能源、金融、电信、教育等领域。比如,在国内,统信、麒麟等操作系统,欧拉、鸿蒙等操作系统社区,办公软件、微信、QQ、钉钉等基础应用,均推出了“龙架构版本”。
在本次发布的15项领先科技成果中,有三家国内高校机构代表发布成果,这也彰显了高校在互联网科技研发领域发挥的重要作用。其中,清华大学发布了“大规模知识图表示学习的体系化基础算法及开源工具”,北京大学发布了“基于数字对象架构的数联网及大数据互操作技术”,浙江大学发布了“大规模图神经网络模型端云协同计算平台和应用示范”。
在领先科技成果评选过程中,世界互联网大会前期征集到来自中国、俄罗斯、美国、英国、瑞典等国家的近300项优秀成果,近40位来自全球互联网领域的知名专家组成推荐委员会,申报成果也涵盖了5G/6G、基础操作系统、图计算、人工智能等互联网前沿技术领域。
“在全球领先科技人才和企业的广泛参与下,一批又一批领先科技成果在互联网技术创新的征程上熠熠生辉,为国际交流互鉴和科技成果转化照亮前行之路。”邬贺铨说。
《光明日报》( 2022年11月10日 10版)
(文图:赵筱尘 巫邓炎)