【动画】@App开发者们�����,你想了解的SDK安全风险都在这�����!******
日前�����,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为�����。
现如今�����,大量App借助SDK实现特定功能,提供便捷服务�����,满足用户多样需要�����,但APP使用SDK也可能带来相关安全问题�����,包括SDK自身安全漏洞�����、SDK恶意行为�����、SDK收集使用个人信息三类�����。
其中�����,SDK恶意行为�����是指嵌入APP中的SDK自身产生�����的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型�����的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同�����,恶意劫持App流量�����,可能对App造成损害�����;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户�����的通讯录�����、短信息等个人敏感信息,隐蔽进行拍照�����、录音等敏感行为�����,并发送给恶意开发者�����;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息�����、隐私政策中未明确提及所接入�����的SDK和数据收集情况�����、SDK收集的个人信息范围与隐私政策不相符等�����。
除了上述 SDK恶意行为外�����,当前 App 接入�����的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能�����,并在此过程中实现用户终端数据�����的收集和上传。
由于该SDK 在不同App中存在模块代码和版本�����的不同,因此对其在不同月活范围 App 中�����的数据收集行为进行抽样分析,从结果上来看�����,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围�����的情况�����,并且涉及大量用户隐私路径数据�����的访问�����。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址�����。而实际上传�����的数据中除了包含 WiFi �����的BSSID名称信息外,还频繁上传用户安装应用�����的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入�����的 SDK 中,收集个人信息范围、频度�����的必要性和最小化原则同样适用于SDK的功能业务场景�����。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围�����,但其合理性和必要性存疑�����,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外�����,还收集了安装应用运行状态信息等�����,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外�����,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据�����的收集和上传行为。例如对解锁屏�����、电源连接断开事件进行监听�����、对用户终端安装�����、卸载应用行为进行监听,除此以外,还会监听应用前台�����、后台的切换行为从而触发数据�����的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活�����、自动下载安装、误触下载等风险行为�����。
(监制�����:张宁 策划�����:李政葳 制作:黎梦竹)
直播带货藏“猫腻”�����,售假治理需多方合力******
◎新华社记者 邵鲁文
近年来�����,网络直播带货日渐兴起。在一些直播间内,低廉�����的商品价格、主播极具诱惑性的销售话术�����,让不少消费者怦然心动。
然而�����,一些直播带货的商品看似物美价廉�����,背后却可能潜藏制假售假�����的“猫腻”�����。各地公安�����、市场监管等部门已查处多起通过直播平台售假案件,其中不少案件涉案金额超过千万元。
服装、配饰�����是“重灾区”
记者发现�����,服装、配饰等是直播售假�����的“重灾区”�����。此外,酒水类售假也屡见不鲜�����。山东德州警方近期查处一起通过直播带货销售假茅台酒案件�����,涉案金额巨大�����,而犯罪嫌疑人用于制作假酒的基酒每斤成本只有8.5元�����。
直播售假已成为网购中不容忽视�����的问题�����,不少“网红”也曾因售假问题被监管部门处罚。2020年,有消费者质疑某主播团队成员在直播间售卖�����的燕窝�����是糖水�����。广州市场监管部门对相关人员作出责令停止违法行为、罚款90万元�����的行政处罚。
而在黑猫投诉平台,消费者针对电商直播平台�����的投诉已达万余条,涉及商品以次充好、虚假营销、售卖假冒伪劣产品等多方面问题。
常用套路有迹可循
多名办案民警表示�����,围绕销售假冒伪劣产品,网络主播�����的一些常用套路有迹可循�����。
在山东菏泽警方破获的一起通过电商直播销售冒牌服装的案件中�����,犯罪嫌疑人采用大量营销手段宣传产品,并用话术诱导消费者�����。菏泽市公安局食品药品与环境犯罪侦查支队支队长方辉杰说,犯罪嫌疑人直播前会在多个社交平台进行新款产品�����的预热,甚至花钱购买流量引流,直播间几乎每次都有上万人观看�����。在销售过程中,以“大牌尾单”“工厂原单”等名义,利用部分消费者贪图便宜�����的心理,销售价格比正品便宜很多的假货。
业内人士告诉记者,不少售假团伙甚至还总结出多种固定套路�����。例如,在推销产品时�����,常常用“全部是内部渠道弄到�����的货�����,要是假货我还用那么麻烦吗?”“费力搞到货别人却不领情�����,这种心情你懂吗?”等话术营造找到货源不容易的感觉。而在鼓动消费者下单时,常常会使用“一共30单就上一分钟”“错过就再也没有了”“这个价格就上这一次,一会恢复原价”等说辞。
一些主播在直播平台上长期售假,也凸显出平台自身存在监管盲区。德州市公安局德城分局食品药品与环境犯罪侦查大队民警马恒说�����,查处�����的销售假酒案件中�����,犯罪嫌疑人曾在直播间连续直播卖货多时�����,仅一个月就销售假酒2000多箱。
中消协在《2022“双11”消费维权舆情分析报告》中提到,在“双11”转型升级、商品与交易逻辑再梳理�����的渐进过程中,平台与商家�����的规则边界意识还有待强化。
平台方监管责任需落实
记者注意到,一些平台已经采取措施�����,对直播售假行为进行治理。2022年9月,抖音电商就曾发布关于“三无商品”的专项治理公告,对销售无产品名称、无生产厂厂名、无厂址商品�����的商家进行严厉打击�����。此外,2022年11月10日,抖音电商还公布“打击售卖劣质羽绒服专项行动”阶段治理成果,封禁违规羽绒服商品33491件,清退相关店铺522个,处罚相关商家596个。
受访专家认为�����,假冒伪劣产品�����的生产和销售�����,影响了正常�����的经营秩序�����,也侵害了相关品牌企业�����的切身利益�����,同时侵犯了消费者权益,亟须严肃治理�����。中国人民大学商法研究所所长刘俊海说,借助直播平台售假现象增多�����,凸显出对这一新兴领域�����的监管尚存不足。2021年5月,国家互联网信息办公室等七部门制定的《网络直播营销管理办法(试行)》开始施行。相关监管部门应秉持对假货“零容忍”�����的态度�����,严肃查处各类制假、售假行为,保护消费者合法权益�����。
2022年3月,国家互联网信息办公室�����、国家税务总局、国家市场监督管理总局发布《关于进一步规范网络直播营利行为促进行业健康发展�����的意见》�����,进一步明确了平台方的监管职责�����。
“各互联网平台需要进一步压实自身责任,对于入驻�����的电商经营者尽到主体资格审核义务,在保障消费者权利�����的同时,这也是促进自身业务增长�����的方式之一。”中消协律师团律师李斌认为�����,各大平台要做到严格落实监管,引导入驻商家恪守诚实信用原则,确保守法合规经营�����。
多地公安和消保部门也发出消费提示,呼吁消费者不断提升自我保护意识和风险防范能力�����,尤其�����是避免盲目冲动,做到科学消费�����。遇到消费纠纷时,及时向相关部门提供线索,维护自身合法权益。
(文图:赵筱尘 巫邓炎)
[责编:天天中]
微信好友 
朋友圈 
)
乐发lv地图