【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
信息通信业(ICT)十大趋势发布******
2023年1月6日,中国信息通信研究院(以下简称“中国信通院”)主办的“2023中国信通院ICT+深度观察报告会”主论坛在京举办,中国信通院副院长王志勤以《ICT产业体系高质量发展助推现代化建设开新局》为题发布了信息通信业(ICT)十大趋势。
近几年ICT产业发展持续向好,ICT产业的增加值及占GDP比重稳步提升,与此同时,ICT产业数智化赋能向深、向广、向新发展,ICT技术持续与传统产业融合,助推千行百业数字化转型升级。ICT产业高质量发展,将持续赋能实体经济,引导现代化产业体系加快构建。在ICT技术牵引下,5G技术、信息网络、先进计算、AI技术全面创新发展,赋能效应持续加深,数字化转型仍是产业主旋律,工业互联网成为关键路径,同时有了数据要素的加持,数字经济迈向量质齐升,数字治理和数字安全体系基本构建。在2023年,通过ICT高质量发展作为牵引,将带动数字经济健康繁荣发展。
信息通信业(ICT)十大趋势
一、 ICT技术红利持续释放,谋篇布局未来发展空间
二、个人行业应用双轮驱动,5G规模化发展加速推进
三、信息网络协同融合贯通,自智技术加快应用落地
四、先进计算创新模式升级,算力供给能力大幅提升
五、大模型驱动AI技术突破,应用能力边界不断拓展
六、智能制造向纵深发展,工业互联网成为关键路径
七、数据基础制度完善落地,数据要素市场建设提速
八、数字经济迈向量质齐升,构筑经济复苏中坚力量
九、数字治理体系基本形成,发展预期合作基础企稳
十、数字安全加速迭代升级,保障覆盖全过程全链条
更多精彩,敬请阅读解读PPT。
ICT产业今年呈现较快发展态势,面向未来,要加快关键技术自主创新突破,加快推进技术向产业端转化,加强与实体经济的深度融合。2023-2025年,我国ICT产业将保持持续增长态势,面向未来前沿技术我们加快相关布局,未来产业的培育将为ICT技术产业化开辟新的赛道。
在5G网络建设和应用发展过程中,推动5G规模化发展将成为今后一段时间的主要方向,需要从个人和行业两方面双驱动实现5G在实体经济中更广范围、更深层次、更高水平的深度融合。需要以终端和数字内容的发展创新来实现个人应用从量到质的变化。5G行业应用规模化发展将呈现梯次、阶段推进态势,在此过程中需要加强5G技术对行业应用的支持能力。
当前处于算网协同向算网融合发展的阶段,预计到2030年将实现设施、技术、运营、服务的体系化融合贯通。从算网协同到算网融合落地应用,再到最终算网一体将面临技术、产业等多重挑战。网络智能化水平不断提升,预计2025-2030年,网络自智能力将达到L4。从技术趋势看,下一步网络智能技术将向多源融合智能发展,支撑网络向更高等级自智能力发展。
当前,算力作为新生产力已成为普遍共识。先进计算通过系统化创新加速算力规模提升,极大提升了算力供给能力,性能更强、规模更大、功耗更低,同时能够实现低时延、高可靠性和精度更多的细分能力。先进计算在深度赋能各行各业数字化转型过程中正发挥重要作用,带动数字经济的发展。
从技术角度看,大模型将持续提升人工智能技术水平,推动人工智能从可用技术向好用的基础设施演变。同时,多模态、强算力和知识增强等技术将让大模型的性能得到进一步提升。从应用角度看,大模型的发展将进一步拓展人工智能应用的能力边界,不断催生新模式新业态。大模型将提升人工智能感知、认知和生成能力,并且有望在基础科学领域取得更多突破。
数字化转型保持高速发展态势,工业互联网作为数字化转型的关键支撑和路径,新技术应用、新产业培育日益活跃。5G+工业互联网作为我国重要推进方向,已初步实现规模化应用,工业互联网产业规模也由小到大,预计2025年将超过2万亿。智能制造作为制造业转型升级的主攻方向,全面向纵深发展,智能工厂建设走深扩宽,中小企业加速普及,数字化供应链也成为新的重要探索方向。
数据要素是数字化发展的基础,2022年12月通过的二十条构建了数字基础制度的相关意见,它的落地为数据要素市场建设奠定了基础。我们会继续加强对数据基础制度细化领域细则的制定,在数据产权、流通交易、收益分配、安全治理等方面进一步细化制度设计。随着数据制度的不断完善,我国数据要素市场建设将进一步提速。
数字经济迈向量质齐升。从国际来看,中美欧数字经济持续发展,新兴国家加速崛起,全球数字经济多极化发展格局将进一步凸显。从国内来看,数字经济正步入量质齐升的新十年,到2025年我国数字经济规模将超过60万亿元,数字经济投入产出的效率将提升至3.5。
我国与数字化发展相适应的数字治理制度体系框架基本形成。从法律、规划和政策层面,我国数字治理的顶层制度设计基本建立,治理体系建设方向、重点领域的治理要求基本明确。在此条件下,我们会继续努力提高它的预期性、操作性和协同性,进一步细化制度规则,使国家数字治理政策更加规范有序安全稳定,促进数字经济高质量发展。
数字化持续深入,驱动网络安全向数字安全发展演进,数字安全保障能力同步建设创新发展。安全保障需求从过去的线上网络空间安全可靠,拓展和延伸至线下物理空间的稳定运行。面向数字基础设施,数字安全进一步作用于信息通信安全、数据要素安全,以及网络物理融合安全。数字安全风险蔓延于数字化各环节各流程,数字技术、数字平台、数据要素及网络物理融合等成为安全保障重点。
(文图:赵筱尘 巫邓炎)