【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
首批网络数字版本入藏中国国家版本馆******
版本,是记录历史、传承文明的“金种子”。网络数字版本,是“数字中国”建设与发展进程中,传承中华文明的数字化载体。中国国家版本馆作为国家版本资源总库和国家版本数据中心,全面启动了网络数字版本入藏计划。12月29日上午,中国国家版本馆首批网络数字版本入藏仪式在深圳文博会现场举行,来自腾讯公司、阅文集团、腾讯音乐娱乐集团三家互联网企业的首批优秀网络数字版本,入藏了中国国家版本馆。
12月29日,正在深圳举行的第十八届文博会上,中国国家版本馆中央总馆携手西安、杭州、广州三家分馆首次集体亮相,展区面积500多平方米。中国国家版本馆入藏版本量近2400万余册/件,展品涵盖十大类版本类型,旨在打造国家版本典藏中心、展示中心、研究中心、交流中心,更好发挥以史鉴今、启迪后人的重要作用。图为中国国家版本馆展区和展出的文创产品。新华社记者毛思倩摄
数字版本入藏工作开启新阶段
“汇聚入藏有历史文化传承价值的数字版本资源,是国家版本馆履行国家版本资源总库和国家版本数据中心建设职能的体现。”中国国家版本馆副馆长王志庚表示。
据了解,腾讯公司、阅文集团、腾讯音乐娱乐集团作为首批原创网络数字版本入藏国家版本馆的支持企业,分别遴选推荐了旗下原创于互联网环境的典型作品与项目,覆盖网络文学、网络视频、网络游戏、数字文保、数字音乐等五大类、45项不同形态的网络数字版本,标志着中国国家版本馆数字版本入藏工作开启新阶段。
以首批入藏的网络数字版本为试点工作“样板”,中国国家版本馆将分步骤、分阶段完成数字版本收藏、索引、研究、展示、交流、应用全流程设计,起草并完善数字版本入藏工作制度、管理规范和相关标准,探索建立平稳有效的常态化工作机制,面向电子图书、数字报纸、数字期刊、数字音乐、网络文学、网络视频、网络动漫、网络游戏、网络应用等各类承载文化内容的数字版本,选取传承中华文明、彰显中国精神、展示中国形象的典型精品,全面开展入藏工作。
入选作品彰显数字时代文化新韵
此次入藏的45项网络数字版本均是我国近年来各文化领域的代表性作品,充分彰显了数字时代文化新韵与文化成果创造性转化的新特点。
据介绍,《王者荣耀》与《和平精英》成为首批入藏的两款网络游戏。游戏产业既是文化科技创新生态的受益者,也是文化科技创新生态的建设者。近年来,游戏产业不断推动与传统文化深度融合,持续与科技、文化成果“跨界联动”,让用户在游戏中感受到优秀中华传统文化的无穷魅力,从山脉河流、古代建筑、人物造型、服装服饰、生活道具、诗词歌赋等多个维度了解中华传统文化知识。
积极探索内容交互趣味性与社会价值普及性的结合,尝试运用游戏化手段传递积极向上的正向社会价值,也是入选产品的一大特征。
例如,《普通话小镇》是在教育部语言文字应用管理司的指导下制作的功能游戏,专门为普通话基础薄弱人群定制学习场景和内容;《星火筑梦人》是腾讯在共青团中央宣传部的指导下制作的多元内容合辑,采取数字化手段同步推出游戏、有声书、主题曲等多种类型的内容,生动再现了百年前中国热血青年觉醒奋起、星火燎原的“筑梦年代”。
在网络视频类型中,包括《扫黑风暴》《敦煌:生而传奇》《邻家诗话》《中国好故事》等在内的17部反映时代新风的优秀作品入藏,类型涵盖了电视剧作品、纪录片作品、综艺作品,以及动漫作品。而在网络文学类型中,则有由阅文集团提交的《复兴之路》《大国重工》《朝阳警事》等10部作品入藏。
在数字音乐类型中,腾讯音乐娱乐集团推荐的8首中国韵音乐入藏,包含京剧、昆曲、沪剧等多种传统曲艺风格,笛、琵琶、古筝等传统乐器演奏形式,以及诗、词、赋等传统文体风格。既描绘了江南、川蜀、闽南等区域的地方特色和人文精神,还结合多元音乐创作手法进行大胆创新,展现出中国音乐在新时代与时俱进的生命力。
12月29日,正在深圳举行的第十八届文博会上,中国国家版本馆中央总馆携手西安、杭州、广州三家分馆首次集体亮相,展区面积500多平方米。中国国家版本馆入藏版本量近2400万余册/件,展品涵盖十大类版本类型,旨在打造国家版本典藏中心、展示中心、研究中心、交流中心,更好发挥以史鉴今、启迪后人的重要作用。图为中国国家版本馆展区和展出的文创产品。新华社记者毛思倩摄
“数字档案”记录数字中国时代进程
首批入藏网络数字版本中,不仅有优秀的内容作品,也有与数字技术应用密切相关的重大文化事件和堪称经典文化项目的“数字档案”。
例如此次入藏的“数字长城”项目,借助腾讯自研的“程序化生成”、云游戏等多种游戏技术,首次通过扫描重建,数字化复刻了一段长约1公里的喜峰口长城,实现全球最大规模文化遗产毫米级、交互式数字还原,让用户在手机端就能欣赏3A级的视觉和互动效果。
在“中国传统器乐数字化保护计划”中,针对珍贵乐音、古乐谱因缺少系统记录而消逝的问题,建立围绕声、谱、器的中国传统器乐数字资源库。项目以专业的音频设计及算法能力,助力中国传统器乐的乐音、乐谱、乐器的数字化存储,并在音色采集保存、古乐谱研究等方面展开保护和科普工作。
天涯共此楼沉浸式文旅项目,则将游戏《天涯明月刀》与福建永定客家土楼结合,以“线上场景重塑+线下实地修缮”的方式,打造集电竞、民宿、文创、5G+4K云演艺及沉浸式体验和表演于一体的文旅新地标,以国风文化助力文旅产业高质量发展。
“国家版本馆将持续联合社会各方力量,共同探讨原创网络数字版本入藏的工作机制、流程与标准,优选入藏更多传承中华文明、彰显中国精神、展示中国形象的精品网络数字版本,从版本视角做好新时代中华文明的记录典藏。”中国国家版本馆党委书记、馆长刘成勇表示。
(文图:赵筱尘 巫邓炎)