【动画】@App开发者们,你想了解�����的SDK安全风险都在这!******
日前�����,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为�����。
现如今�����,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要�����,但APP使用SDK也可能带来相关安全问题�����,包括SDK自身安全漏洞�����、SDK恶意行为�����、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生�����的恶意行为�����。这种恶意行为将破坏使用SDK�����的APP�����的安全性,对用户权益、数据等方面造成严重威胁。典型�����的恶意行为如流量劫持、资费消耗、隐私窃取等�����。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量�����,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户�����的情况下�����,隐蔽窃取用户�����的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中�����,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入�����的SDK和数据收集情况�����、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外�����,当前 App 接入�����的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能�����,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中�����的数据收集行为进行抽样分析�����,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低�����的 App 接入的版本中�����,还存在通过云控参数控制 SDK 在终端侧收集数据范围�����的情况,并且涉及大量用户隐私路径数据�����的访问�����。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集�����的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi �����的BSSID名称信息外�����,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围�����的最小化原则。而在应用接入的 SDK 中�����,收集个人信息范围�����、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围�����,但其合理性和必要性存疑�����,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外�����,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏�����、电源连接断开事件进行监听、对用户终端安装�����、卸载应用行为进行监听�����,除此以外�����,还会监听应用前台�����、后台�����的切换行为从而触发数据的收集和上传�����。
另外�����,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为�����,后台拉活�����、自动下载安装、误触下载等风险行为�����。
(监制:张宁 策划�����:李政葳 制作�����:黎梦竹)
玩梗营销勿碰法律边界******
玩梗营销勿碰法律边界
黄 骥 何俊强
春节假期前夕,某地市场监管部门在检查中发现�����,有咖啡店�����的商品包装上贴有“莲花清温咖啡”标签�����,执法人员责令该店停止使用该标签并对其立案调查。这是继此前某微商因销售“连花清温茶”被市场监管部门查处之后,又一起因玩梗营销引发�����的案件�����。
近来,针对涉疫药品的玩梗营销不时出现�����。“莲花清温咖啡”“连花清瘟精酿”“布洛芬凉茶”等玩梗商品,曾多次引发关注。总体上看�����,监管部门�����的执法行动及时制止了不当行为�����,妥善维护了市场秩序,也对涉疫玩梗营销敲响了警钟�����。
或许有人觉得,“玩梗”只图一乐�����,无伤大雅,“段子”不会成为“案子”�����。其实不然。上述玩梗营销,涉及疫情防控救治的常用、紧俏药品,主要情形是将药品名称用在食品�����、保健品的包装上�����。许多消费者是在应急情况下搜寻�����、选购这些药品的�����。当消费者看到与药品名称相同或近似�����的标记时�����,通常没有足够�����的耐心与时间去仔细考察、辨别具体情况�����,很容易认为这些“玩梗商品”包含特定药物成分�����,具有类似疗效功能�����。但实际上�����,大多数“玩梗商品”与上述药品没有任何关联。
许多玩梗营销在擅自使用知名药品名称的同时,还使用了与该药品高度近似�����的包装设计�����,甚至标上“同款配方”“防治新冠”之类�����的宣传用语,这进一步增加了迷惑性和欺骗性。这种行为与其说�����是幽默,不如说是打擦边球�����,很可能导致消费者做出错误的决策�����,损失金钱且延误治疗。
此外,某些被玩梗的药品名称是医药企业�����的注册商标和知名品牌�����,玩梗营销容易侵犯医药企业的商标权益�����,损害其商业信誉和品牌形象。也有个别玩梗营销真的在食品中违规添加药品,这种行为违反医药产品监管方面的法律规范�����,严重情况下,甚至可能构成犯罪。
疫情防控救治关系到人民健康与社会安定。不论�����是“挂羊头卖狗肉”,还�����是真把药品当食材,对涉疫药品玩梗营销�����,都可能成为医药资源顺畅流通�����、合理配置、规范使用�����的掣肘因素,干扰防疫大局。玩梗营销还可能违反多方面法律规范,在消费者权益、竞争秩序、营商环境�����、公共健康等多个层面造成危害后果和不良影响�����。创意不能任意,蹭热度也得适度�����。严格规制涉疫玩梗营销,确保其遵循法度,既是维护市场秩序�����的应有之义�����,也是强化食品药品安全监管和守护人民生命健康的必行之举。
要更加全面、长效地规制和防范相关违法行为�����,除了罚款�����、责令停止生产销售等常规执法手段外�����,还可以考虑运用公益诉讼、惩罚性赔偿、信用惩戒�����、行业公约等多种法治举措�����,实现综合惩戒�����、联动治理。
不少玩梗商品是通过网络推广、销售的,有必要进一步优化互联网平台经营者�����的管理权责,引导其加强涉疫营销信息�����的监测审查�����,以及时、能动、高效�����的方式屏蔽移除违法产品及其宣传内容。
严惩违法的同时�����,也有必要为经营者提供更清晰�����的合规指引。通过发布典型案例�����、预警信息�����、出台指导意见等,帮助经营者明确良性创意与不当营销�����的分界线�����,不失为降低经营者合规成本�����,兼顾社会秩序与商业创新的可行之策。(经济日报)
(文图:赵筱尘 巫邓炎)
[责编�����:天天中]
微信好友 
朋友圈 
)
凤凰彩票地图