现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
2023美国少数族裔伤痛继续:安全感成奢侈品 犯罪和疫情面前“更受伤”******
海外网1月12日电《纽约时报》1月10日发文,讲述了一名亚裔女性在美国生活的恐惧,“出门扔垃圾被人吐口水,感到前所未有的不安全。”盘点美媒2022年的报道就会发现,这名女性的遭遇,正是少数族裔在美国糟糕境况的一个缩影:更容易成为仇恨犯罪的受害者、更频繁遭遇警察暴力执法,在新冠、猴痘疫情中受影响更严重……展望2023年,种族歧视的痼疾仍将持续困扰美国社会,少数族裔的伤痛难以愈合。
警察暴力执法频发 非裔更易被杀害
虽然非裔男子弗洛伊德遭警察跪杀案已过去两年多,但相关统计显示,美国少数族裔群体依然面临着警察暴力执法的威胁,相关致死致伤事件频频发生。
非营利组织“警察暴力执法地图”1月3日公布的数据显示,2022年,美国1176人死于警察执法,创下2013年有记录以来新高。平均每天3.2人死于警察执法。其中,非裔死亡人数占比高达24%,远超非裔占美国总人口13%的比重。
2022年6月27日,美国俄亥俄州阿克伦一名非裔男子违反交规后逃逸,被警方连开90多枪,在身中60枪后死亡。事件引发轩然大波,数千民众连日抗议游行,美国全国有色人种协进会主席斥责警方实施“针对非裔的谋杀”;7月16日,在田纳西州奥克兰,数名警察追赶一名非裔男子进入民宅后,对其殴打,还采取锁肩、踩头、电击等暴力手段;11月14日,美国有线电视新闻网曝光的监控视频显示,5名狱警在牢房内猛烈殴打一名非裔嫌犯,不仅拳击其头部,还将他拖到走廊里继续打,其中4名狱警都是白人。
尽管弗洛伊德案在美国引发大规模的“黑人的命也是命”抗议浪潮,但美国系统性的警察暴力和种族歧视问题并未得到解决。根据“警察暴力执法地图”统计,2013年至2022年间发生的警察致人死亡事件中,涉案人员没有被判罪的事件占总数的98.1%。司法机构频频亮起的“绿灯”,也使得美国警察在暴力执法和种族歧视问题上愈加有恃无恐。
仇恨犯罪层出不穷 少数族裔很受伤
美国社会的种族歧视,不仅存在于频发的暴力执法中,也体现在针对少数族裔的歧视、骚扰和暴力事件不断激增,包括非裔、犹太裔和亚裔在内的群体,都屡屡沦为“牺牲品”。
2022年5月14日,在纽约州布法罗市一家超市,86岁的非裔女子露丝·惠特菲尔德正在采购杂货,没想到在“屠杀”中遇难。一名18岁的白人男子进入超市开枪扫射,导致10人丧生,死者均为非裔。枪手专门奔赴非裔社区作案,案前还在网上大肆宣扬白人至上主义思想。
遇难者露丝的儿子加内尔说,他感到愤怒和痛苦,美国仇恨犯罪不断蔓延,施害者甚至不加掩饰。另一名受害人的母亲出席国会听证会时痛斥,“美国在本质上就是个暴力的国家,它建立在暴力、仇恨和种族主义之上,它所标榜的自由和平等只是自欺欺人。”
2022年12月12日,美国联邦调查局(FBI)公布2021年仇恨犯罪报告。尽管该报告的数据并不完整,但记录的仇恨犯罪数量依旧高的惊人。报告显示,2021年美国共有7262起仇恨犯罪事件被记录在案,是过去十年第三高的数据。加州大学圣贝纳迪诺分校“仇恨与极端主义研究中心”主任布莱恩·莱文进行的调查则显示,2021年美国针对亚裔的犯罪激增224%,针对犹太裔、拉丁裔和黑人群体的偏见性犯罪也大幅增加。
疫情暴露医疗不公 少数族裔首当其冲
2022年,面对新冠疫情和猴痘疫情的双重冲击,美国少数族裔遭受系统性种族歧视的痼疾愈发凸显,这一群体的生命权和健康权遭受不公待遇,甚至被无情剥夺。
2022年8月24日,美国凯撒家庭基金会发布报告称,美国猴痘疫情的种族差异显著且呈现扩大趋势,少数族裔面临更严重的公共卫生威胁。美国疾控中心数据也显示,拉美裔和非裔仅占美国总人口约30%,但在猴痘确诊病例中占比超过60%。然而,只有10%的猴痘疫苗被分配给了非裔病例。
美国还有研究显示,在新冠疫情期间,拉美裔和非裔美国人感染新冠概率约为白人3倍,感染后死亡率约为白人2倍。美国拉丁裔、非裔和原住民儿童因为新冠疫情成为孤儿的可能性,分别是白人儿童的1.8倍、2.4倍和4.5倍。
面对突发公共卫生事件,美国少数族裔屡次首当其冲,成为陷入困境最严重的群体。美国全国拉美裔医学协会执行委员会成员朱迪思·弗洛雷斯在美媒的采访中表示,从艾滋病到新冠再到猴痘,少数族裔一直无法获得公平的医疗服务,在疫情中总是处于劣势。(海外网刘强)
(文图:赵筱尘 巫邓炎)