【动画】@App开发者们�����,你想了解的SDK安全风险都在这�����!******
日前�����,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为�����。
现如今�����,大量App借助SDK实现特定功能�����,提供便捷服务�����,满足用户多样需要�����,但APP使用SDK也可能带来相关安全问题�����,包括SDK自身安全漏洞�����、SDK恶意行为�����、SDK收集使用个人信息三类�����。
其中,SDK恶意行为�����是指嵌入APP中的SDK自身产生�����的恶意行为�����。这种恶意行为将破坏使用SDK的APP�����的安全性,对用户权益�����、数据等方面造成严重威胁。典型�����的恶意行为如流量劫持�����、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定�����的目标不同�����,恶意劫持App流量,可能对App造成损害�����;隐私窃取指SDK在用户不知情或误导用户的情况下�����,隐蔽窃取用户�����的通讯录�����、短信息等个人敏感信息,隐蔽进行拍照�����、录音等敏感行为,并发送给恶意开发者�����;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面�����,安天移动安全发现�����,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集�����的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外�����,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据�����的收集和上传�����。
由于该SDK 在不同App中存在模块代码和版本�����的不同�����,因此对其在不同月活范围 App 中�����的数据收集行为进行抽样分析,从结果上来看�����,该SDK 普遍存在违规收集和超范围收集个人信息�����的问题,并且在月活较低�����的 App 接入的版本中�����,还存在通过云控参数控制 SDK 在终端侧收集数据范围�����的情况�����,并且涉及大量用户隐私路径数据的访问�����。
以某知名地图 App为例�����,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集�����的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传�����的数据中除了包含 WiFi �����的BSSID名称信息外,还频繁上传用户安装应用�����的列表信息�����。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围�����的最小化原则。而在应用接入的 SDK 中�����,收集个人信息范围、频度�����的必要性和最小化原则同样适用于SDK�����的功能业务场景�����。
虽然部分应用接入 SDK 时明示了 SDK 所收集�����的个人信息范围�����,但其合理性和必要性存疑�����,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等�����,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息�����,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏�����、电源连接断开事件进行监听�����、对用户终端安装�����、卸载应用行为进行监听,除此以外,还会监听应用前台�����、后台�����的切换行为从而触发数据的收集和上传。
另外,当前 App 接入�����的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活�����、自动下载安装、误触下载等风险行为。
(监制�����:张宁 策划:李政葳 制作�����:黎梦竹)
【网络强国这十年】动画|摆脱纸上谈兵!带你看看网络安全实战精兵需要哪些“必杀技”******
当前�����,网络空间安全面临的形势复杂多变�����,以窃取敏感数据�����、破坏关键信息基础设施为目标的有组织网络攻击愈演愈烈。我国正在迎来数字经济�����的发展浪潮�����,千行百业�����的数字化转型�����,都需要有网络安全的坚实保障�����。
网络空间�����的竞争�����,归根结底是人才的竞争。数据显示�����,到2027年,我国网络安全人员缺口将达327万�����,而高校人才培养规模仅为3万/年�����。在网络安全人才缺口中�����,实战型人才缺乏�����的问题更为突出�����。有高达92%的企业认为其缺乏网络安全实战人才�����。这也成为整个数字化转型过程中亟需解决的重要命题�����。
网络安全人才要有综合实战能力
在2022年国家网络安全宣传周期间发布�����的《网络安全人才实战能力白皮书》从当前国内网络安全人才状况、人才�����的攻防实战能力、用人单位�����的实战能力需求、如何提升人才的攻防实战能力�����、如何评价提升人才的攻防实战能力�����、“政、企�����、学�����、研”如何共同培养实战人才等方面,通过翔实数据和面向不同群体调研,以及各领域专家学者�����的认真编撰�����,为党政机关�����、重要行业、企事业单位及高校等单位的人才建设战略提供重要参考。
从业务需求出发�����,将网络安全人才实战能力归纳为“攻防实战能力”“漏洞挖掘能力”“工程开发能力”“战效评估能力”四种类型�����。
其中,本次白皮书将重点聚焦�����的攻防实战能力定义为�����,在真实业务场景中,利用网络空间安全技术和工具开展安全监测与分析�����、风险评估、渗透测试事件研判�����、安全运维�����、应急响应等工作�����的能力。这需要网络安全人才掌握各类安全标准的落地实践经验,可以熟练使用网络安全技术和工具�����,为具体业务开展风险评估�����,提供安全落地规划指导和建议。
同时�����,网络安全人才还应具备一定的调查取证能力,能够在受到攻击后收集�����、处理、保存�����、分析并呈现计算机攻击相关证据�����,为后续的攻击溯源或案件侦查提供帮助。
网络安全人才市场供需仍不匹配
白皮书显示�����,从人才�����的需求侧来看�����,网络安全攻防实战人才面临严重缺口。以往很多用人单位不仅专业岗位人员配置不足,还有很多岗位是“兼职人员”,实战能力严重匮乏�����。数据显示,当前对网络安全人才�����的需求,能源行业的需求量位列第一,在细分行业中占比为21%,其次是通信、政法�����、金融、交通�����、医疗卫生、网安企业等行业�����。
预计未来3至5年内�����,具备实战技能的安全运维人员与高水平网络安全专家�����,将成为网络安全人才市场中最为稀缺和抢手�����的资源,加强网络安全攻防实战人才�����的培养已成为行业共识�����。
人才培养从实践中来往实战中去
网络安全竞赛�����、实网攻防演练、众测与应急响应,都�����是近年来我国广泛开展�����的网络安全实践模式。其中�����,网络安全竞赛具有强实践性、创新性�����、对抗性的特点�����,近年已成为全面检验和提升攻防实战能力的重要方式之一�����,“以赛促学、以赛代练”理念也帮助一线人员摆脱“纸上谈兵”的困境�����,在实际工作场景中更加得心应手。
科学系统地培养攻防实战人才�����,应首先建立统一的网络安全攻防实战能力框架�����,同时通过“竞赛选拔、分类提高、职业引导”�����的方式�����,将竞赛、众测、攻防演练�����、技术分享等方式相结合,形成常态化�����的攻防人才成长通道。
同时,网络安全�����是一门综合性学科,借鉴国外经验,提出ASK-P模型,将网络安全人才培养分为意识(Awareness)�����、技能(Skill)�����、知识(Knowledge)�����、实践(Practice)四个维度�����,旨在培养多学科融会贯通,具备综合实战能力�����的复合型人才�����。
监制�����:张宁 李政葳 策划�����:孔繁鑫 制作:刘昊
(文图�����:赵筱尘 巫邓炎)
[责编:天天中]
微信好友 
朋友圈 
)
大发彩票地图