【动画】@App开发者们,你想了解的SDK安全风险都在这�����!******
日前�����,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App�����,有13款内嵌第三方SDK存在违规收集用户设备信息行为�����。
现如今�����,大量App借助SDK实现特定功能�����,提供便捷服务�����,满足用户多样需要�����,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类�����。
其中,SDK恶意行为�����是指嵌入APP中的SDK自身产生的恶意行为�����。这种恶意行为将破坏使用SDK�����的APP�����的安全性,对用户权益�����、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗�����、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定�����的目标不同�����,恶意劫持App流量�����,可能对App造成损害�����;隐私窃取指SDK在用户不知情或误导用户�����的情况下,隐蔽窃取用户的通讯录�����、短信息等个人敏感信息�����,隐蔽进行拍照�����、录音等敏感行为�����,并发送给恶意开发者�����;广告刷量指SDK在最终用户不知情的情况下�����,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现�����,应用接入第三方SDK引发的违规收集个人信息问题较为普遍�����。其中�����,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入�����的SDK和数据收集情况�����、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析�����,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低�����的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据�����的访问。
以某知名地图 App为例,在相关检测中发现�����,在隐私政策中明确提到了应用内第三方 SDK所收集�����的个人信息类型为设备信息和 Wi-Fi 地址�����。而实际上传�����的数据中除了包含 WiFi 的BSSID名称信息外�����,还频繁上传用户安装应用�����的列表信息�����。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入�����的 SDK 中,收集个人信息范围�����、频度�����的必要性和最小化原则同样适用于SDK的功能业务场景�����。
虽然部分应用接入 SDK 时明示了 SDK 所收集�����的个人信息范围�����,但其合理性和必要性存疑�����,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外�����,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外�����,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏�����、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台�����、后台的切换行为从而触发数据的收集和上传�����。
另外�����,当前 App 接入�����的 SDK 中还存在云端控制SDK行为�����,热更新技术控制 SDK 行为�����,后台拉活、自动下载安装�����、误触下载等风险行为�����。
(监制:张宁 策划�����:李政葳 制作�����:黎梦竹)
“找课本茬”背后�����是平等�����的学习姿态******
用一副三角板能画出多少度数�����的角�����?“除了30度�����、45度、60度�����、75度……应该还有165度!”据极目新闻报道�����,四川成都两名四年级学生米之贤、廖钧宇发现课本上一道数学题参考答案“有问题”,自己找到的一个答案不在参考答案中�����,他们给教材编写组发去了邮件�����。编写组回信肯定了两名小学生�����的探究精神和严谨态度,表示要在教材修订中采纳他们的建议�����。
类似“找茬”“挑刺”且成功�����的例子�����,并不鲜见�����。2021年秋�����,沈阳七年级学生崔宸溪指出英语课本上蜜蜂配图配成了食蚜蝇�����,出版社编辑为他点赞;当年10月,上海小学生吴叶凡发现美术课本上�����的“树叶”应该是数亿年前�����的古生物“海百合”�����,出版社第一时间将错误进行溯源并上报修订……
出版社虚心接纳意见�����的坦诚固然值得肯定,但这些中小学生敏于思考�����、敢于质疑的探究精神更难能可贵。面对权威�����的课本�����,这些学生不盲从�����,不盲信�����,是其所是,非其所非�����,坚定地表达己见�����,展现出新时代中小学生积极主动求知求真的价值认定�����。
尽信书不如无书�����。中小学课本“千锤百炼”,经过诸多专家之手,当然经得起各种推敲,也比其他读物更精准�����、更标准�����,但这并不意味着课本就完美无缺�����、无可挑剔了。中小学生每天与课本生活在一起,当然最熟知课本�����的角角落落。很多时候,即便发现问题�����,一些学生也没有选择发出质疑�����,这恐怕仍与当下部分中小学过于格式化�����的教育方式有关。
我早年曾经做过三年中学语文老师�����,每每困惑于如何协调学生鲜活�����的认知与课本刻板答案之间的关系�����。我并非不知道�����,学生多一些深入思考,多一些触类旁通,多一些路径方法�����,更能打开他们的思维,但在应试考试的“硬杠杠面前”,很多时候只能收敛起来�����、压制回去�����。表现在行动上,就�����是把学生们的注意力聚拢到记诵上来,“背会就行了”“答案要标准”�����,久而久之,这种做法就会变得模式化,最终浓缩为成绩单上�����的数字。
这当然是一种让步,乃至退步�����,其后果�����,往往会在学生未来的生涯中一点点呈现�����。当一茬茬学生走出校门,进入更高�����的学府�����,乃至走上社会�����,不少人都表现出一个共同�����的特点�����,就是不会提问�����,只会照办�����。尽管我们不能�����、也不应该把这个结果完全归因于当初的压制质疑�����,但至少,当下�����的教育中�����,应该容得下孩子们表达自己�����的质疑。
此外�����,学生不去质疑�����,或者很少质疑,也与传统社会强大�����的因循习惯有关系。课本代表着权威�����,课本就�����是标准,这类意识往往会持续削弱大家�����的质疑精神。敬惜字纸也好�����,尊重老师也好,在很多地方、很多时候�����,这些观念都在无形中过滤着不同�����的声音。如果学生总想着从课本的纸缝中找出一些问题�����,难免不会被视为�����是“有意找茬”。
必须认识到,“找课本的茬”�����,就�����是一种在问题意识中学习知识�����的绝好路径。凡事破中有立,问题意识多了,必然会逼迫你去寻求答案�����,探索路径�����。这种钻研�����、探究、严谨的精神,就�����是创新创造的开始�����。
一方面,这会打破制式化标准模式,让学生从固化思维的桎梏中解脱出来�����,尝试去寻求不一样的路径和办法�����,看到不一样�����的风景�����。比如�����,从产生问题意识开始�����,发展发散思维,找到学习的方法�����,融会贯通�����、上下求索,一步步把课本读“薄”读透�����;又如,大家都来提问题,也会形成一种智力上的砥砺和激荡�����,这本身就�����是思想火花得以发生�����的基础。
另一方面�����,这也会产生某种超越�����的心理体验,由知识超越抵达价值超越�����,而这种超越,对于一个崭新的灵魂而言,至关重要�����。毕竟,课本只是一座知识的桥梁,大家可以凭借它摆渡�����,但却不必过度依赖它,更不能迷信崇拜它�����。如此,才能形成一种科学�����的求知精神。
无论如何�����,学习的过程�����,可能需要一定程度�����的知识灌输,以吸纳更多新知,但这不意味着学生要全盘接受�����。在这个过程中,学习者从姿态上是平等�����的�����,唯有时时保持求真的敏感�����,才能真正窥见通往新知的门径�����。
龙之朱 来源:中国青年报
(文图�����:赵筱尘 巫邓炎)
[责编:天天中]
微信好友 
朋友圈 
)
快三平台地图