您的位置:首页 >动态 >

恶意广告推送、违规收集个人信息 警惕手机软件里的“内鬼”

2022-04-01 07:24:52    来源:光明日报

手机软件(App)出现流量劫持、恶意广告推送、违规收集个人信息等情况,或许是内嵌第三方软件开发工具包(SDK)在作怪——

警惕手机软件里的“内鬼”

近日,国家计算机病毒应急处理中心监测发现15款移动App及1款SDK存在隐私不合规行为,涉嫌超范围采集个人隐私信息。今年2月份,工信部信息通信管理局也通报了今年第一批侵害用户权益行为的App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。

伴随移动互联网时代到来,App与人们工作生活的关联日益密切。如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要。但与之相关的安全问题,同样不容忽视。

何为SDK?与App有何关联?

最新数据显示,国内市场上App已达252万款。当前,App功能复杂程度及版本迭代速度大幅提升,已进入为大众提供精细化、场景化服务阶段。

“应用开发者为提高迭代速度、降低开发成本及丰富业务功能,除了自主开发外,还会内嵌SDK,从而快速接入和实现某类业务功能。”安天移动安全高级副总裁陈家林说。

安天移动安全风险应用检测预警平台统计发现,目前,我国80%以上App集成了第三方SDK,平均每个App集成数量近20款。中国信息通信研究院与腾讯公司联合发布的《软件开发包(SDK)安全研究报告(2021年)》中提到,被100款以上App所集成的第三方SDK已超3万款。

何为SDK?《TC260-PG-20205A移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》中将其定义为,辅助开发某一类软件的相关文档、范例和工具的集合;第三方SDK则指由第三方服务商或开发者提供工具包。

“就像一家工厂在制造电视或汽车时,为实现更好的性能,从外界购买一些具有特定功能的零件组装在产品里。”一家资讯类平台的工程师田强这样打比方。

记者了解到,第三方SDK提供的App功能服务包括消息推送、支付、广告、行为分析统计、第三方登录等。有的SDK用于特定的品类应用中,比如,社交类App通常接入即时消息类SDK,网赚类App则会接入安全风控类SDK。

嵌入了便利,也嵌入了风险

从本次工信部通报的SDK违规问题可以看出,除多款SDK涉及违规获取设备ID外,还有1款涉及违规收集设备传感器信息,1款涉及违规收集设备安装列表。

对此,陈家林坦言,目前市面上的第三方SDK生态比较复杂,对于App开发者来说,第三方SDK运行时的行为可能并不透明;同一SDK引入不同App或App的不同版本中,其版本、功能、模块可能存在差异。“很多场景下App开发者难以全面评估SDK的安全性,且难以掌握SDK的全部运行行为。”陈家林说。

“我们曾采用过一款记录日志运行数据的SDK组件。几年前该SDK组件出现漏洞,平台数据安全因此遭遇严重威胁。”田强回忆,黑客通过该第三方SDK漏洞,可以登录服务器并获取操作权限,任意处置里面的用户数据。

安天移动安全近日发布的《移动互联网应用供应链(SDK)行为安全性现状研究报告》中提到,SDK恶意行为包括流量劫持、隐私窃取、静默下载安装、恶意广告、远程控制等;SDK风险行为包括违规收集个人信息、云端控制SDK、欺骗误导用户下载App、伪装或匿名推送消息等。

“App接入第三方SDK提供服务,在厘清个人信息处理责任边界、实施安全措施等方面,增加了复杂度和安全隐患。企业如何规范App接入的各类第三方SDK服务,已成为数据合规的难点之一。”中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲说。

警惕违规收集用户个人信息乱象

去年年底,国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《App违法违规收集使用个人信息监测分析报告》显示,第三方SDK收集行为普遍存在,由该行为不规范引发的App违规问题日益凸显。

“我们在检测中也证实了这类问题。具体包括在用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及接入SDK数据收集情况、SDK收集个人信息范围与隐私政策描述不相符等。”陈家林说。

从个人信息处理角度而言,何延哲认为,在理想情况下第三方SDK和App存在“委托处理”“各自独立处理”及“共同处理”三种模式:如果第三方SDK需遵循与App开发者的约定目的及方式处理个人信息,即第三方SDK受“委托处理”,App开发者承担告知同意职责;如果App开发者无法充分定制或限制第三方SDK处理个人信息行为,此时双方属于“各自独立处理者”,App开发者需告知第三方SDK处理个人信息规则;如果App与第三方SDK约定共同决定处理个人信息,双方可能成为“共同处理者”,都应该以个人信息处理者的名义对用户明示告知。

然而,在实际开发运营中,两者关系相比理想模式往往更为复杂。何延哲建议,App能够与用户直观交互并提供服务,应该承担更大告知职责;如果第三方SDK提供服务必须处理个人信息,需要主动详细告知处理规则。

应遵循最小化、必要性设计原则

第三方SDK嵌入App时,也嵌入了风险元素。对此,从事出行类平台研发工作的客户端工程师陆阳认为,一线工程师不能只关注软件开发业务,应该对所使用的SDK基本信息有清晰、必要的认识,并与安全团队配合,选出既符合业务诉求又能够保证安全性的SDK。

陈家林认为,从产业链角度看,SDK提供者需遵守个人信息保护法、数据安全法等相关法规以及App用户权益政策要求,在涉及个人信息收集和使用行为上秉持最小化、必要性设计原则;App开发者在选择和接入SDK时,需要重点评估SDK提供商及其SDK安全性。

针对用户权益,何延哲认为,如果基于用户同意使用SDK服务,用户有撤回同意权利;如果SDK收集用户信息是为履行法定义务,则不宜提供停止或拒绝功能;如果SDK与App为委托关系,应由App方对限制或拒绝处理个人信息作出响应。

近年来,国家相关单位的部分标准文件中,已提出App和SDK的安全技术要求和规范指引,部分处于征求意见稿阶段。记者也了解到,根据欧盟《通用数据保护条例》(GDPR)要求,欧洲的广告互动协会开始尝试“同意管理平台模式(CMP)”。何延哲表示,该模式本身有助于使个人信息处理更合规,具有一定借鉴性。而真正适合我国法律框架和App、SDK开发产业生态的个人信息处理模式,还需要各方持续研究尝试。

(光明网记者孔繁鑫李政葳)

标签: 个人信息 手机软件

相关阅读

精彩放送

天天热点评!警方通报“父女黄码看病闯卡被拦袭警”

全球今日报丨如何规避“杀猪盘”

每日讯息!高考志愿填报如何避坑

​水泥路都被热断了,这份超实用的夏季补水指南请收好!

数智·聚星辰 融通·创未来 | 中移双创2022年第二期“星辰成果日”精彩预告

告别“英年早秃”,贝妮芙小黑瓶助力头发新生

20天成功销售5个批发商 | 蒂诗丽公司个体工商苏静端老师的招商秘籍

居家必备学习神器 汉印学习打印机FT880推荐

高端女性护理品牌希腊EVA卫冕618类目冠军,源美科技再造品牌孵化神话

“梯子纪” 让孩子在自信快乐中成长,让家长不再焦灼迷茫

源美科技公布618战绩,多品牌逆势上涨蝉联类目第一

美白新生机,伊肤泉美白让你轻松get无瑕肌

肌肉腿适合做高抬腿吗? 高抬腿可以瘦哪里?

水桶腰出现的根本原因是什么?水桶腰引发的原因有哪些?

双杠臂屈伸做多少个效果最好?双杠臂屈伸的训练技巧有哪些?

怎样使用杠铃健身?在健身房举重提杠铃有哪些注意事项?

爬楼梯可以锻炼哪些部位的肌肉?室内楼梯健身运动的方式有什么?

跳绳减肥好还是跑步减肥好?每天晚上跳绳减肥吗?

瑜伽猫伸展式标准动作讲解有哪些?猫伸展式的作用是什么?

什么动作锻炼全身肌肉最有效果?新手在健身房怎样锻炼背部肌肉?

拉单杠有什么好处?每天坚持拉单杠的好处有哪些?

长期做有氧运动的好处有哪些?在家怎么做有氧运动最有效?

费森尤斯卡比荣膺2021年度责任品牌奖

福寿年年专属商业养老保险作为养老难题的解决方案,提供安全、稳定、持久的现金流

七腾科技开启IP征集活动,邀你画出心中的英雄形象

湖北宜昌有什么好玩必去的地方景点?十大旅游景点出炉

苏州旅游必去的十大景点是什么?景点推荐指数是多少?

辽宁省十大好玩的旅游景点有哪些?看看你去过哪个啊?

北岳恒山旅游攻略是什么?怎样到达北岳恒山?

浙江丽水最好玩的地方是哪里?这10大景点不妨去走一走

杜绝盲目刷题,科大讯飞AI学习机帮助孩子提高学习效率

香格里拉游玩最佳路线是什么?香格里拉必去4个景点是什么?

自然美学邂逅英伦生活哲学,九璟湾从容演绎繁华与静谧

黄冈一日游哪里好玩?黄冈市十大旅游景点出炉

雅鲁藏布大峡谷景区内主要看点有哪些?如何去雅鲁藏布江大峡谷?

山东有哪些免费景点?济宁附近一日游有什么?

康定旅游需要几天?什么季节最适合去康定旅游?

顶楼漏水如何彻底解决?顶楼漏水原因有哪些?

车轮上的百态人生,货拉拉司机闪烁“平凡之光”

家居配饰种类有哪些?家居饰品怎么搭配?

什么是买房定房?买房要注意什么?

软地基处理方法有什么?地基下沉的处理方法有什么?

保障性住房能转手吗?保障房的分类有哪些?

封闭住宅小区什么?全封闭和半封闭小区有什么区别?

房地产备案是什么意思?房产局备案如何办理?

什么是房补?申请买房补贴时需要具备哪些条件和手续?

装修验收房子应该注意什么?装修验收要点有哪些?

智谷智健创始人杨波的抗衰老探索创新——获国家发明专利,惠及人类

跳单买房是什么意思?通过中介买房的注意事项有哪些?

2022年甘肃省普通高校招生全国统一考试成绩公布

2022年宁夏高考成绩公布!宁夏教育考试院发布重要提醒

《甘肃省消费者权益保护条例》将于2022年8月1日起施行

宁夏开展“征信修复”乱象专项治理“百日行动”活动

“十四五”时期 天津将实现建制村通双车道比例达到65%以上

3.5亿元!保税区跨境电商“618”总单量达202万

关注:2022年文化和旅游企业服务月活动启动

每日消息!绿色旅游成时尚

天津市伯苓高级中学今年将面向全市招生

注意!2022年河北省专升本考试准考证可以打印了

天津预计今天午后有雷阵雨 高温闷热天气有所缓解

今日看点:碧桂园以4.11亿美元购买2022年到期的4.75%优先票据

热点聚焦:衡水市举行企业家早餐会董晓航出席

快播:5月国内手机出货量2080.5万部 5G手机占比85.3%

河北省政府批准公布《赵王陵文物保护总体规划》

今日观点!「武强」考生走错考点,交警警车相送

快资讯丨业务规模保持增长 网络支付产业向纵深发展

石家庄市初中毕业生升学文化课考试结束 预计7月初成绩可查

河北省严格规范中考成绩发布和高中招生管理工作 初中学校不得宣传中考分数

新资讯:济源开展布病防控专项行动

颗粒归仓 又是一季丰收粮!河北今年夏粮丰收已成定局

每日播报!呼和浩特市卫生领域项目已开工11个

最新快讯!孙绍骋深入赤峰市调研

看点:公益诉讼筑牢安全生产“防火墙”

每日热闻!教育部发布预警 谨防“高价志愿填报指导”陷阱

最资讯丨区商促局召开全体会议

百年糊涂酒父亲节主题活动「一声碰杯,拉近心扉」引发大众共鸣

这种地龙蛋白70%复购率的背后(龙血通)

随变走进大山,让公益有多种可能!

华为云携手多豆乐漫娱,助力虚拟偶像方小锅C位出道

要闻速递:通辽市城市服务指挥中心:加强城市治理精细化

每日速递:工伤复发后还能享受伤残待遇吗?

今日热议:美国拟限定卷烟尼古丁含量以降低烟瘾促进戒烟

【快播报】韩国首尔将在150个公用电话亭设置“交换型充电站”

简讯:雨一直下,多地演练“如果雨水倒灌地铁”

每日头条!澳大利亚一酒吧老板用平底锅猛击鳄鱼头部将其赶走

今日热搜:印度一只豹子在高速公路上被撞卡在汽车前保险杠上

焦点快报!油地产业充分融合 互补互惠激发活力

热门:依法收回一宗涉案土地使用权挽回经济损失2亿余元深度关注|做好查办案件追赃挽损文章

今日要闻!监督哨|雷同照片藏猫腻

每日焦点!协同创新,川渝两地又携手成立这两大联盟

时讯:陕西省人大常委会党组副书记、副主任姜锋一行赴贵州“多彩宝”考察

精选!27人因违建鸡舍被处理大连开展基层微腐败专项治理

热资讯!最高可获10万元单位设婴幼儿普惠托育点有补助

每日时讯!广西9市58县出现洪涝灾害紧急转移安置6万多人

当前热议!小心!“孩子”要报培训班可能是陷阱

当前热门:比亚迪的新起点也是中国汽车的新考验

每日看点!一工人莫名成三家企业雇员关联企业混同用工该谁担责

每日视讯:告别野蛮掘金约束主播要形成合力

快讯:朝外商圈来了“年轻人”

每日焦点!全民主播与31条红线