盈彩彩票计划群_用户注册 | 官网首页登录平台网址

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

手机APP弹窗关不掉？加力整治！******

　　原标题：开展乱象整治专项行动，规范应用软件预置行为

　　手机APP弹窗关不掉？加力整治！

　　移动互联时代，即时通讯、网络视频、在线购物、新闻资讯等各类移动互联网应用程序（APP）在快速发展的同时也滋生了种种乱象。近日，有关部门接连出台相关举措，开展专项行动、印发联合通告，为APP领域的健康规范发展加码发力。

　　APP领域乱象时有发生

　　关不掉的弹窗广告、山寨APP以假乱真、未经同意强制捆绑下载、难以卸载的预置程序……眼下，APP领域乱象严重影响了用户体验。

　　弹窗广告是用户遭遇的普遍问题。“APP投放广告本身没问题，但现在打开APP都不敢动手机，因为有时候稍不注意晃一下手机，就跳进了‘摇一摇’广告。”网友“小花一朵”说。

　　此外，有些APP页面里“关不掉”的广告也实在令人糟心。不少网友表示遇到过“虚假关闭按钮”，本以为点了关闭，实际上还是跳转到了外部页面。

　　中国互联网络信息中心数据显示，截至2022年6月，中国市场上监测到的APP数量为232万款。海量的应用数量也给不少山寨APP带来了可乘之机。“有些山寨APP图标和正版APP十分相似，一不注意就容易下载错了，最终导致信息泄露甚至是经济损失。”网友“柒柒”说。

　　黑龙江哈尔滨银发网友吴淑琴说：“我们老年人使用智能手机本身就是一个学习的过程，很多操作都不熟悉，有些细微的操作也容易忽略，因此下载APP的时候更容易遭遇捆绑下载。没用的APP在手机里不仅侵占手机空间，还让手机越用越慢。”

　　一项针对手机预置软件的调查显示，62.21%的受访者反映手机预装软件数量多且占用内存，自己日常很少使用，会删除其中绝大部分。在预置软件数量方面，有些型号的手机在出厂时就已预置了多达56个应用程序。

　　业内人士认为，预置APP不仅让人眼花缭乱，大部分也缺乏实用价值。“删都删不掉”的预置APP背后实则是手机厂家和软件运营方的联合操作。

　　政策监管有新招

　　近日，为规范移动互联网应用程序信息服务管理，深入治理APP、小程序等应用程序乱象，进一步压实应用程序分发平台主体责任，促进行业健康有序发展，国家网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动。

　　此次专项行动加强移动互联网应用程序全链条管理，全面规范移动应用程序在搜索、下载、使用等环节的运营行为。其中，搜索查找环节将重点打击“山寨APP”、从严整治虚假排名、全面净化页面呈现、严格规范备案要求。在下载安装环节，将集中整治强制、捆绑下载安装；坚决惩处应用程序“挂羊头卖狗肉”规避监管；严厉打击以赚钱为诱饵诱导用户下载。针对运行使用环节，将集中治理弹窗问题、严格规范功能设置、严厉打击诱导充值。

　　据悉，此次专项行动将以加强分发平台规范管理为抓手，抓好重点平台，对问题突出的应用程序分发平台加大整治力度。

　　为进一步规范移动智能终端应用软件预置行为，保护用户权益，提升移动互联网应用服务供给水平，构建更加安全、更有活力的产业生态，促进移动互联网持续繁荣发展，工信部、国家网信办日前联合印发《关于进一步规范移动智能终端应用软件预置行为的通告》（简称《通告》），自2023年1月1日起执行。

　　《通告》明确，移动智能终端应用软件预置行为应遵循依法合规、用户至上、安全便捷、最小必要的原则，依据谁预置、谁负责的要求，落实企业主体责任，尊重并依法维护用户知情权、选择权，保障用户合法权益。生产企业应确保移动智能终端中除基本功能软件外的预置应用软件均可卸载，并提供安全便捷的卸载方式供用户选择。实现同一基本功能的预置应用软件，至多有一个可设置为不可卸载。

　　建立长效监管机制

　　针对APP领域的各类乱象，有关部门一直在持续升级监管。据统计，从2019年12月至2022年10月，工信部累计通报了26批关于侵害用户权益行为的APP，逐一列出详细问题，严格限期整改，并对未按要求完成整改的APP进行下架处理。

　　针对用户反映强烈的APP开屏弹窗信息“关不掉、乱跳转”问题，工信部在2021年全年累计开展12批次技术抽检，通报了1549款违规APP，下架了514款拒不整改的APP。

　　在涉诈风险提示方面，2022年11月以来，工信部反诈专班已在官方公众号上发布了20多期涉诈高风险APP名单，为广大网友提示了包括以山寨APP为代表的仿冒类诈骗以及彩票类诈骗、贷款类诈骗等多种APP涉诈类型。

　　经过多轮整治，APP行业乱象已有改观，但仍有部分软件运营方、分发平台通过“打擦边球”或是一些违规“新花招”逃避监管。

　　专家表示，APP行业的规范和监管需推动各方实现协同治理，建立长效机制。一方面，APP的运营、分发、使用涉及诸多环节，软件运营方需以用户为中心，依法依规安全经营；分发平台要加强审核把关，设立准入门槛；用户需加强自我保护意识，善用相关举报平台；监管部门则要严格监督，对相关乱象予以及时的指导和规范。另一方面，网络世界发展日新月异，APP领域的各类乱象也并非静止不变。因此，要在协同治理的基础上建立长效监管机制，既要抓落实防反弹，也要不断甄别和应对新乱象，促使APP领域真正实现健康规范的可持续发展。（徐嘉伟）

　　（文图：赵筱尘 巫邓炎）