【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
【网络强国这十年】白帽黑客创业记:“面对安全威胁,不做无动于衷的人”******
【网络强国这十年——创业故事篇】
在大众眼中,“黑客”一词常常与“病毒”和“破坏”划等号。传统概念中的“黑客”会攻击存在漏洞的系统,而“白帽黑客”则是致力于发现系统漏洞的人,他们使网络系统、软件系统更趋完善,减少网络攻击可能带来的损失。
在我国网络安全领域,知道创宇便是一个有代表性的团队,他们是一群网络攻击赛跑的“白帽黑客”。创业15年来,知道创宇的历程也是我国网络安全行业发展的缩影。
近日,中国网络空间安全协会理事、中国民间著名白帽黑客团队“安全焦点”核心成员、知道创宇CTO&COO杨冀龙做客光明网“网络强国这十年”专栏,畅谈创业经历,讲述创业初心与机遇,并对当下网络安全行业创业者的发展方向给出建议。
怀大情怀创业,“微助力”社会发展
当时创业,我与安全爱好者朋友聊起来,觉得安全技术还不错,怎么才能产生更大的社会价值?当时我们就提到一句话,还是挺激励我们两个人的,就是爱因斯坦说的,“这个社会是邪恶的,不是因为那些邪恶的人,而是因为那些无动于衷的人”。
我们是知道所有黑客的行动、行为和技术、手段、方法的人,我们无动于衷的话,那这个社会就越来越黑暗了。
尤其当时,我爸的电脑被各种流氓软件、黑客软件入侵,计算机都没法开机,开机一查病毒,一下十几款,而且很多杀毒软件都杀不了。
我们觉得,我们学了这么多网络安全的本事,还是得保护像我爸这样的老百姓。同时,中国要伟大复兴,需要很强的安全技术能力做保障。所以当时就决定创立知道创宇,初心就是为国为民,做一家真安全的、能实际保护整个网络的公司。
人工智能时代,做网络安全医院运营商
知道创宇应该说从创立的时候定位就是想做一个真安全的公司,或者说一个实战安全公司。因为安全其实分很多品类,比如说有服务类、有设备类,还有运营类,像国外很多都已经走到运营这个阶段了。
我们当时创业的时候就发现,中国很多安全厂商是做安全设备,安全设备可以理解为一家医院的医疗设备,已经有这么多优秀的网络设备了,我们再做几个设备,可能有出路,但是也不能解决很大的问题。社会上其实不太需要那么多安全设备,或者说不太需要那么多一个个的技术点,而是需要有人把他们串起来、运营起来,这个是更急迫的问题。
由此我们就决定创建一家网络安全“医院”,在医院里有各种各样的设备,有各种各样的器材,但更重要的是里面有大量的“医生”——安全专业人员,帮客户看看这个问题到底怎么回事,需要什么设备我们再上什么设备,这样处理每一个安全问题的成本就降低了,并且效果更好了。
而且随着一家网络医院的运行时间越来越长,它会积攒很多很多病例,即积攒很多大数据,有了这些大数据和样本之后,就可以启动AI,用人工智能学习做人工辅助,这个时候我们做很多对症下药、处理问题起来会更加准确,而且会更加快捷方便。
所以知道创宇的定位就是做一家网络安全的运营商,做一家类似于医院的运营商,而不是仅仅做一个网络安全设备的提供商,所以这是一个非常大的区别,这么多年,知道创宇其实也一直在这条道路上向前走,也获得了很多客户的信赖。
网络安全服务商将成为行业新方向
现在中国的网络安全市场是一个“垂直化+纵深化”的市场,怎么说呢?就是中国有很多企业是垂直管理的,它的分支机构遍布全国各地;各地方也有很多安全需求,包括很多厂商、各种政府、各种机构的需求,所以中国的市场是“井”字格形的。
安全需要快速应急,甚至安全人员马上就要到现场,如果一家安全公司总部在北京,会发现各地可能就难以覆盖,所以这个时候就会遇到很多安全服务的机会,每一个“井”字格的地方,其实都需要一个小的服务公司或者服务团队,能够迅速到场或者迅速解决问题。所以我认为,未来安全服务商是一个很大的机会,因为毕竟中国有众多城市,还有这么多垂直行业,这么多央企、政府、部委,垂直到每个地方,都有很多安全服务的机会。
而安全服务的机会就意味着,创业的小团队需要把客户现有用到的安全产品和设备用得非常好,加上自己的安全功底,把它真正地发挥起来,我认为这是一个很大的市场。
第二个市场就是,安全毕竟现在还是在不断发展中,比如现在有些大的行业发展,比如IoT、5G、居家办公等,催生了很多新的安全技术变革,或新的安全条例发布后,很多新的安全设备、安全工具就会有很多新的机会。如果一些公司技术特别好,他们也可以来开发这些技术,或者开发一个个产品工具,这样也能催生一系列的更加专业化的垂直公司的出现。
监制:张宁、李政葳
采访:孔繁鑫
拍摄:雷渺鑫
后期:雷渺鑫、孔繁鑫
(文图:赵筱尘 巫邓炎)