• <track id="ywvqt"><s id="ywvqt"></s></track>
    <track id="ywvqt"></track>

    <table id="ywvqt"></table>

  • <acronym id="ywvqt"><strong id="ywvqt"></strong></acronym>
    1. <table id="ywvqt"></table>

      分享到:

      惡意廣告推送、違規收集個人信息 警惕手機軟件里的“內鬼”

      惡意廣告推送、違規收集個人信息 警惕手機軟件里的“內鬼”

      2022年04月01日 07:32 來源:光明日報參與互動參與互動

        手機軟件(App)出現流量劫持、惡意廣告推送、違規收集個人信息等情況,或許是內嵌第三方軟件開發工具包(SDK)在作怪——

        警惕手機軟件里的“內鬼”

        近日,國家計算機病毒應急處理中心監測發現15款移動App及1款SDK存在隱私不合規行為,涉嫌超范圍采集個人隱私信息。今年2月份,工信部信息通信管理局也通報了今年第一批侵害用戶權益行為的App,有13款內嵌第三方SDK存在違規收集用戶設備信息行為。

        伴隨移動互聯網時代到來,App與人們工作生活的關聯日益密切。如今,大量App借助SDK實現特定功能,提供便捷服務,滿足用戶多樣需要。但與之相關的安全問題,同樣不容忽視。

        何為SDK?與App有何關聯?

        最新數據顯示,國內市場上App已達252萬款。當前,App功能復雜程度及版本迭代速度大幅提升,已進入為大眾提供精細化、場景化服務階段。

        “應用開發者為提高迭代速度、降低開發成本及豐富業務功能,除了自主開發外,還會內嵌SDK,從而快速接入和實現某類業務功能?!卑蔡煲苿影踩呒壐笨偛藐惣伊终f。

        安天移動安全風險應用檢測預警平臺統計發現,目前,我國80%以上App集成了第三方SDK,平均每個App集成數量近20款。中國信息通信研究院與騰訊公司聯合發布的《軟件開發包(SDK)安全研究報告(2021年)》中提到,被100款以上App所集成的第三方SDK已超3萬款。

        何為SDK?《TC260-PG-20205A移動互聯網應用程序(App)中的第三方軟件開發工具包(SDK)安全指引(征求意見稿)》中將其定義為,輔助開發某一類軟件的相關文檔、范例和工具的集合;第三方SDK則指由第三方服務商或開發者提供工具包。

        “就像一家工廠在制造電視或汽車時,為實現更好的性能,從外界購買一些具有特定功能的零件組裝在產品里?!币患屹Y訊類平臺的工程師田強這樣打比方。

        記者了解到,第三方SDK提供的App功能服務包括消息推送、支付、廣告、行為分析統計、第三方登錄等。有的SDK用于特定的品類應用中,比如,社交類App通常接入即時消息類SDK,網賺類App則會接入安全風控類SDK。

        嵌入了便利,也嵌入了風險

        從本次工信部通報的SDK違規問題可以看出,除多款SDK涉及違規獲取設備ID外,還有1款涉及違規收集設備傳感器信息,1款涉及違規收集設備安裝列表。

        對此,陳家林坦言,目前市面上的第三方SDK生態比較復雜,對于App開發者來說,第三方SDK運行時的行為可能并不透明;同一SDK引入不同App或App的不同版本中,其版本、功能、模塊可能存在差異?!昂芏鄨鼍跋翧pp開發者難以全面評估SDK的安全性,且難以掌握SDK的全部運行行為?!标惣伊终f。

        “我們曾采用過一款記錄日志運行數據的SDK組件。幾年前該SDK組件出現漏洞,平臺數據安全因此遭遇嚴重威脅?!碧飶娀貞?,黑客通過該第三方SDK漏洞,可以登錄服務器并獲取操作權限,任意處置里面的用戶數據。

        安天移動安全近日發布的《移動互聯網應用供應鏈(SDK)行為安全性現狀研究報告》中提到,SDK惡意行為包括流量劫持、隱私竊取、靜默下載安裝、惡意廣告、遠程控制等;SDK風險行為包括違規收集個人信息、云端控制SDK、欺騙誤導用戶下載App、偽裝或匿名推送消息等。

        “App接入第三方SDK提供服務,在厘清個人信息處理責任邊界、實施安全措施等方面,增加了復雜度和安全隱患。企業如何規范App接入的各類第三方SDK服務,已成為數據合規的難點之一?!敝袊娮蛹夹g標準化研究院網絡安全研究中心測評實驗室副主任何延哲說。

        警惕違規收集用戶個人信息亂象

        去年年底,國家計算機網絡應急技術處理協調中心、中國網絡空間安全協會發布的《App違法違規收集使用個人信息監測分析報告》顯示,第三方SDK收集行為普遍存在,由該行為不規范引發的App違規問題日益凸顯。

        “我們在檢測中也證實了這類問題。具體包括在用戶同意隱私政策前就開始收集個人信息、隱私政策中未明確提及接入SDK數據收集情況、SDK收集個人信息范圍與隱私政策描述不相符等?!标惣伊终f。

        從個人信息處理角度而言,何延哲認為,在理想情況下第三方SDK和App存在“委托處理”“各自獨立處理”及“共同處理”三種模式:如果第三方SDK需遵循與App開發者的約定目的及方式處理個人信息,即第三方SDK受“委托處理”,App開發者承擔告知同意職責;如果App開發者無法充分定制或限制第三方SDK處理個人信息行為,此時雙方屬于“各自獨立處理者”,App開發者需告知第三方SDK處理個人信息規則;如果App與第三方SDK約定共同決定處理個人信息,雙方可能成為“共同處理者”,都應該以個人信息處理者的名義對用戶明示告知。

        然而,在實際開發運營中,兩者關系相比理想模式往往更為復雜。何延哲建議,App能夠與用戶直觀交互并提供服務,應該承擔更大告知職責;如果第三方SDK提供服務必須處理個人信息,需要主動詳細告知處理規則。

        應遵循最小化、必要性設計原則

        第三方SDK嵌入App時,也嵌入了風險元素。對此,從事出行類平臺研發工作的客戶端工程師陸陽認為,一線工程師不能只關注軟件開發業務,應該對所使用的SDK基本信息有清晰、必要的認識,并與安全團隊配合,選出既符合業務訴求又能夠保證安全性的SDK。

        陳家林認為,從產業鏈角度看,SDK提供者需遵守個人信息保護法、數據安全法等相關法規以及App用戶權益政策要求,在涉及個人信息收集和使用行為上秉持最小化、必要性設計原則;App開發者在選擇和接入SDK時,需要重點評估SDK提供商及其SDK安全性。

        針對用戶權益,何延哲認為,如果基于用戶同意使用SDK服務,用戶有撤回同意權利;如果SDK收集用戶信息是為履行法定義務,則不宜提供停止或拒絕功能;如果SDK與App為委托關系,應由App方對限制或拒絕處理個人信息作出響應。

        近年來,國家相關單位的部分標準文件中,已提出App和SDK的安全技術要求和規范指引,部分處于征求意見稿階段。記者也了解到,根據歐盟《通用數據保護條例》(GDPR)要求,歐洲的廣告互動協會開始嘗試“同意管理平臺模式(CMP)”。何延哲表示,該模式本身有助于使個人信息處理更合規,具有一定借鑒性。而真正適合我國法律框架和App、SDK開發產業生態的個人信息處理模式,還需要各方持續研究嘗試。

        (光明網記者 孔繁鑫 李政葳)

      【編輯:蔣妍】
      關于我們 | About us | 聯系我們 | 廣告服務 | 供稿服務 | 法律聲明 | 招聘信息 | 網站地圖
       | 留言反饋
      本網站所刊載信息,不代表中新社和中新網觀點。 刊用本網站稿件,務經書面授權。
      未經授權禁止轉載、摘編、復制及建立鏡像,違者將依法追究法律責任。
      [網上傳播視聽節目許可證(0106168)] [京ICP證040655號] [京公網安備:110102003042-1] [京ICP備05004340號-1] 總機:86-10-87826688

      Copyright ©1999- 2022 chinanews.com. All Rights Reserved

      欧美国产激情二区三区
    2. <track id="ywvqt"><s id="ywvqt"></s></track>
      <track id="ywvqt"></track>

      <table id="ywvqt"></table>

    3. <acronym id="ywvqt"><strong id="ywvqt"></strong></acronym>
      1. <table id="ywvqt"></table>