您当前的位置:首页 > 新闻资讯 > 手机

恶意广告推送、违规收集个人信息 警惕手机软件里的“内鬼”

时间:2022-04-01 11:15:05  来源:光明日报  作者:

 手机软件(App)出现流量劫持、恶意广告推送、违规收集个人信息等情况,或许是内嵌第三方软件开发工具包(SDK)在作怪——

  警惕手机软件里的“内鬼”

  近日,国家计算机病毒应急处理中心监测发现15款移动App及1款SDK存在隐私不合规行为,涉嫌超范围采集个人隐私信息。今年2月份,工信部信息通信管理局也通报了今年第一批侵害用户权益行为的App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。

  伴随移动互联网时代到来,App与人们工作生活的关联日益密切。如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要。但与之相关的安全问题,同样不容忽视。

 

 

  何为SDK?与App有何关联?

  最新数据显示,国内市场上App已达252万款。当前,App功能复杂程度及版本迭代速度大幅提升,已进入为大众提供精细化、场景化服务阶段。

  “应用开发者为提高迭代速度、降低开发成本及丰富业务功能,除了自主开发外,还会内嵌SDK,从而快速接入和实现某类业务功能。”安天移动安全高级副总裁陈家林说。

  安天移动安全风险应用检测预警平台统计发现,目前,我国80%以上App集成了第三方SDK,平均每个App集成数量近20款。中国信息通信研究院与腾讯公司联合发布的《软件开发包(SDK)安全研究报告(2021年)》中提到,被100款以上App所集成的第三方SDK已超3万款。

  何为SDK?《TC260-PG-20205A移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》中将其定义为,辅助开发某一类软件的相关文档、范例和工具的集合;第三方SDK则指由第三方服务商或开发者提供工具包。

  “就像一家工厂在制造电视或汽车时,为实现更好的性能,从外界购买一些具有特定功能的零件组装在产品里。”一家资讯类平台的工程师田强这样打比方。

  记者了解到,第三方SDK提供的App功能服务包括消息推送、支付、广告、行为分析统计、第三方登录等。有的SDK用于特定的品类应用中,比如,社交类App通常接入即时消息类SDK,网赚类App则会接入安全风控类SDK。

  嵌入了便利,也嵌入了风险

  从本次工信部通报的SDK违规问题可以看出,除多款SDK涉及违规获取设备ID外,还有1款涉及违规收集设备传感器信息,1款涉及违规收集设备安装列表。

  对此,陈家林坦言,目前市面上的第三方SDK生态比较复杂,对于App开发者来说,第三方SDK运行时的行为可能并不透明;同一SDK引入不同App或App的不同版本中,其版本、功能、模块可能存在差异。“很多场景下App开发者难以全面评估SDK的安全性,且难以掌握SDK的全部运行行为。”陈家林说。

  “我们曾采用过一款记录日志运行数据的SDK组件。几年前该SDK组件出现漏洞,平台数据安全因此遭遇严重威胁。”田强回忆,黑客通过该第三方SDK漏洞,可以登录服务器并获取操作权限,任意处置里面的用户数据。

  安天移动安全近日发布的《移动互联网应用供应链(SDK)行为安全性现状研究报告》中提到,SDK恶意行为包括流量劫持、隐私窃取、静默下载安装、恶意广告、远程控制等;SDK风险行为包括违规收集个人信息、云端控制SDK、欺骗误导用户下载App、伪装或匿名推送消息等。

  “App接入第三方SDK提供服务,在厘清个人信息处理责任边界、实施安全措施等方面,增加了复杂度和安全隐患。企业如何规范App接入的各类第三方SDK服务,已成为数据合规的难点之一。”中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲说。

  警惕违规收集用户个人信息乱象

  去年年底,国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》显示,第三方SDK收集行为普遍存在,由该行为不规范引发的App违规问题日益凸显。

  “我们在检测中也证实了这类问题。具体包括在用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及接入SDK数据收集情况、SDK收集个人信息范围与隐私政策描述不相符等。”陈家林说。

  从个人信息处理角度而言,何延哲认为,在理想情况下第三方SDK和App存在“委托处理”“各自独立处理”及“共同处理”三种模式:如果第三方SDK需遵循与App开发者的约定目的及方式处理个人信息,即第三方SDK受“委托处理”,App开发者承担告知同意职责;如果App开发者无法充分定制或限制第三方SDK处理个人信息行为,此时双方属于“各自独立处理者”,App开发者需告知第三方SDK处理个人信息规则;如果App与第三方SDK约定共同决定处理个人信息,双方可能成为“共同处理者”,都应该以个人信息处理者的名义对用户明示告知。

  然而,在实际开发运营中,两者关系相比理想模式往往更为复杂。何延哲建议,App能够与用户直观交互并提供服务,应该承担更大告知职责;如果第三方SDK提供服务必须处理个人信息,需要主动详细告知处理规则。

  应遵循最小化、必要性设计原则

  第三方SDK嵌入App时,也嵌入了风险元素。对此,从事出行类平台研发工作的客户端工程师陆阳认为,一线工程师不能只关注软件开发业务,应该对所使用的SDK基本信息有清晰、必要的认识,并与安全团队配合,选出既符合业务诉求又能够保证安全性的SDK。

  陈家林认为,从产业链角度看,SDK提供者需遵守个人信息保护法、数据安全法等相关法规以及App用户权益政策要求,在涉及个人信息收集和使用行为上秉持最小化、必要性设计原则;App开发者在选择和接入SDK时,需要重点评估SDK提供商及其SDK安全性。

  针对用户权益,何延哲认为,如果基于用户同意使用SDK服务,用户有撤回同意权利;如果SDK收集用户信息是为履行法定义务,则不宜提供停止或拒绝功能;如果SDK与App为委托关系,应由App方对限制或拒绝处理个人信息作出响应。

  近年来,国家相关单位的部分标准文件中,已提出App和SDK的安全技术要求和规范指引,部分处于征求意见稿阶段。记者也了解到,根据欧盟《通用数据保护条例》(GDPR)要求,欧洲的广告互动协会开始尝试“同意管理平台模式(CMP)”。何延哲表示,该模式本身有助于使个人信息处理更合规,具有一定借鉴性。而真正适合我国法律框架和App、SDK开发产业生态的个人信息处理模式,还需要各方持续研究尝试。

  (光明网记者 孔繁鑫 李政葳)



Tags:手机软件   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
微信可以定位对方位置,手机软件可实时查看对方状况
微信定位的功能大家都知道,就是用微信获取对方的位置信息。位置信息获精准到十几二十米,如果借用某些高科技软件,可精确到几米米的范围内。 用微信怎么才能定位找到对方呢?首先...【详细内容】
2022-08-07  Search: 手机软件  点击:(390)  评论:(0)  加入收藏
15款手机软件被曝不安全,这3类APP赶紧卸载
根据新华网等权威媒体报道,今年又有15款手机移动APP被曝存在隐私不合规、收集用户设备信息等行为,非常不安全。 要知道,现在手机已经成为我们的贴身物品,平时学习和生活、工作...【详细内容】
2022-07-15  Search: 手机软件  点击:(1103)  评论:(0)  加入收藏
一键消除手机软件上的小红点,跟强迫症说拜拜
小编是一个有着强迫症的人,手机软件上有一个小红点都受不了,一定要马上点掉,不然浑身不舒服,不知道有没有和我一样的朋友呢? 经过研究,终于发现了一键消除小红点的小技巧,无论是苹...【详细内容】
2022-05-13  Search: 手机软件  点击:(410)  评论:(0)  加入收藏
懂得隐藏手机软件,原来有这么多好处
你也有遇到过这样两种窘状嘛:一是有的App不常用但也需要,导致桌面上的软件太多,找起来实在太费劲了;二是有时把手机借出去,又不想他人看到自己的“秘密”软件。其实这两种情况都...【详细内容】
2022-04-11  Search: 手机软件  点击:(290)  评论:(0)  加入收藏
恶意广告推送、违规收集个人信息 警惕手机软件里的“内鬼”
 手机软件(App)出现流量劫持、恶意广告推送、违规收集个人信息等情况,或许是内嵌第三方软件开发工具包(SDK)在作怪——  警惕手机软件里的“内鬼”  近日,国家...【详细内容】
2022-04-01  Search: 手机软件  点击:(317)  评论:(0)  加入收藏
2020好用的手机软件推荐!每一个都值得收藏!火速收藏
今年我们在健康、生活、科普等领域做了不少新内容,对图书、电影、音乐这类大众化消遣方式也进行了探索,尽管如此,作为很多老读者心目中那个「推荐应用」的网站,在求新求变的同时,我们依然没有放弃自己的「老本行」——对效...【详细内容】
2020-07-17  Search: 手机软件  点击:(695)  评论:(0)  加入收藏
小心被手机软件“套路”
随着微信、支付宝等手机软件的广泛应用,各种“套路”甚至是“骗局”也开始把目光锁定在这些平台上,虚假的高额优惠以及各种以“红包”为噱头的诱导分享给不少消费者造成了困扰...【详细内容】
2019-08-12  Search: 手机软件  点击:(818)  评论:(0)  加入收藏
▌简易百科推荐
Android 15 有望引入应用隔离功能,进一步提升系统安全性
IT之家 4 月 17 日消息,即将推出的 Android 15 系统可能引入一项全新功能:应用隔离。这一功能将更好地保护用户免受行为异常应用的侵害。Android 系统一直拥有强大的安全防护...【详细内容】
2024-04-17    IT之家  Tags:Android   点击:(4)  评论:(0)  加入收藏
Android 15 有望带来 NFC 无线充电支持,小型设备充电更方便
IT之家 4 月 16 日消息,说到无线充电,大多数人可能首先会想到 Qi 标准。Qi 无线充电已经存在很长一段时间了,并且广泛应用于我们日常使用的许多智能设备中。然而,许多小型电子设...【详细内容】
2024-04-16    IT之家  Tags:Android 15   点击:(0)  评论:(0)  加入收藏
华为纯血鸿蒙真机界面首曝!原生安卓不可用
IT之家的朋友们,大家好,我是雨仔。自从华为在去年发布 HarmonyOS NEXT,并宣布鸿蒙原生应用全面启动后,外界就密切关注全新鸿蒙的进展。因为 HarmonyOS NEXT 和现在手机端的 Harm...【详细内容】
2024-04-15    IT之家  Tags:华为   点击:(5)  评论:(0)  加入收藏
华为宣布P系列品牌升级为Pura
【环球网科技综合报道】4月15日,华为官方宣布,其经典P系列手机将进行全面升级,更名为全新的Pura系列。自2012年华为P系列手机首次亮相以来,历经12年的技术积淀和市场打磨,今日该...【详细内容】
2024-04-15    环球网  Tags:华为   点击:(8)  评论:(0)  加入收藏
手机号不用了记得解绑这些账号
手机银行、社交媒体、云盘、网购外卖平台……更换或注销手机号时,记得及时进行解换绑操作!另外,还可使用“一证通查”功能,查查你手机号绑定了几个账号。详戳 &darr...【详细内容】
2024-04-11    人民日报  Tags:手机号   点击:(6)  评论:(0)  加入收藏
华为鸿蒙跨过“生死线”!超4000个原生应用、市占率突破16%
华为官方于近日宣布,截至今年三月底,已有超过4000个应用程序加入了鸿蒙生态。这一成就被视作一个重要里程碑。值得注意的是,鸿蒙生态的发展速度惊人,仅在短短两个月的时间里就增...【详细内容】
2024-04-08    中关村在线  Tags:鸿蒙   点击:(11)  评论:(0)  加入收藏
“二次放号”存隐忧 如何减少注销手机号的风险?
如何减少注销手机号的风险?注销号码前应先解绑第三方软件;专家建议运营商可考虑对“二次号码”采取更严格验证程序“用户注销手机号等于出卖自己。当手机号不用了,去营业厅注销...【详细内容】
2024-04-08    新京报  Tags:手机号   点击:(9)  评论:(0)  加入收藏
苹果将允许游戏机模拟器登陆App Store
据The Verge报道,在欧盟开出巨额罚单和新的监管要求后,苹果于前日更新了App Store指南,显示其将首次允许游戏机模拟器登陆iOS设备。游戏机模拟器类软件一直以来都被苹果禁止,无...【详细内容】
2024-04-07  A9VG电玩部落    Tags:苹果   点击:(21)  评论:(0)  加入收藏
三大运营商回应注销手机号等于出卖自己:换号前要做7件事!
快科技4月6日消息,近日“注销手机号等于出卖自己”的话题引发网友热议。该话题起源于安徽省铜陵市公安局民警“徐督督”发布的提醒,他表示手机号注销一段时间后会被运营商重新...【详细内容】
2024-04-07    快科技  Tags:手机号   点击:(12)  评论:(0)  加入收藏
注销手机号等于出卖自己?“二次放号”问题为何难破?
近日,安徽省铜陵市公安局民警“徐督督”在社交媒体账号发布的科普视频中表示:“注销手机号等于出卖自己,随手注销的手机号很可能造成财产损失。随后,该话题冲上微博热搜榜第一,引...【详细内容】
2024-04-06    第一财经  Tags:手机号   点击:(7)  评论:(0)  加入收藏
站内最新
站内热门
相关头条
  • · Android 15 有望引入应用隔离功能,进一步提升系统安全性
  • · 华为纯血鸿蒙真机界面首曝!原生安卓不可用
  • · 揭秘 iOS 17.4:欧盟独享功能,其他地区无法体验
  • · 手机大厂纷纷布局AI,普通用户能有哪些感知?
  • · AI Phone概念机来了:干掉传统手机App
  • · AI会是手机行业的下一个赛点吗?
  • · 部分iPhone用户升级iOS 17.3失败 提示“无法验证更新”
  • · 史上最低!iPhone15价格“大跳水”!苹果怎么了?
  • · 支付宝启动鸿蒙原生应用开发 鸿蒙生态布局进一步完善
  • · 一年烧百亿:国产手机卷入大模型战争
  • · 高端手机销量TOP10公布:苹果独占七席,华为杀入前五
  • · 谷歌调整Play商店应用上架政策:至少经20人测试,开发商需完成资质认证
  • · 除了卫星通话,未来手机竞争的焦点或许就是AI应用能力了
  • · OpenHarmony4.0发布:新增4000多个API接口,交互及隐私能力增强
  • · iPhone 15卖不动了? 苹果命运的齿轮“减速”
  • · 涵盖微信小程序、百度小程序等,首批26家应用程序分发平台公布
  • · iPhone 12辐射超标,苹果公司:按法国的要求,我们改!那中国呢?专业人士:也该测一测
  • · 5999元起!苹果iPhone 15系列国行价格出炉,最高13999元比上一代贵500
  • · iPhone 15系列来了:搭载3nm自研芯、Type-C充电接口,与Mate 60比谁更能打?
  • · 一文看全苹果发布会:iPhone 15全线Type-C,Pro系列设计材质大提升
  • 站内头条