现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
丰收是最好的论文 大学青年教师下田助粮食增产******
这个冬天,眉山职业技术学院农业教研室主任魏文武正在挑战一个新纪录。
夏收之后,在四川省眉山市东坡区的良田里,农户种上了萝卜、芥菜、泽泻等蔬菜和中药材,来年春天再种下水稻。一年两季的种植模式,是人们按照当地气候、土壤条件摸索出来的最优方案。
现在,魏文武要尝试的是“一年三季”。他领导的研究团队在12月泽泻收获前一个月左右播种小麦,来年5月收割小麦后种水稻。如果试验成功,将大大提高土地利用率,也意味着农民会有更多的收获。
推动粮食提质、增产、增效,是这名大学教师从教以来不懈追求的目标。特别是2018年以来,魏文武团队的一批中青年教师依托眉山市岷江现代农业示范园区,借力“一优两高”生产竞赛,推动粮食生产不断创造新纪录。
“一优两高”是指优质、高产、高效。眉山的这场生产竞赛由当地政府发起,行业、企业、高校、农户多方参与。眉山职业技术学院承担了生产竞赛的组织任务,魏文武担任竞赛专家组副组长。
这是一项贯穿全年的系统任务。魏文武介绍,除了组织竞赛外,团队教师还要负责新品种、新技术的试验、示范和推广,对种植大户开展技术培训,帮助他们解决生产过程中的技术问题。
每年,魏文武团队向各地种业企业征集几十、上百个新品种,在眉山市东坡区太和镇永丰村的中试基地开展试验,根据中试结果,挑选出适合当地种植的新品种,再进行更大范围的种植示范,并组织种粮大户观摩。
“种粮大户会根据我们的试验结果选择中意的品种。”魏文武说,在这个环节,学校团队的任务就是帮农户选种质资源。
农户选中新品种开始种植后,魏文武团队迎来了第二个环节的工作:技术服务。他说,新品种大面积种植过程中,团队要协助农户把技术方案贯彻下去。“这就是我们专家组存在的价值”。
“一优两高”竞赛吸引了很多种粮大户的参与。太和镇金光村90后种粮大户徐杰说,这个过程充满挑战性,除了产量、品质等数据指标外,大赛还会现场蒸煮米饭,由专家、农户品尝,对口感进行打分,俨然一个“比武”现场。
技术研究工作并不轻松。每年3月至8月水稻生产季,魏文武平均每周有两三天在基地的田里,观察水稻生长情况、收集数据等。特别是收获季节,面临繁重的测产等任务,魏文武团队有几十名师生天天在田间忙碌。
因为经常下田,他车子的后备厢里常年放着一双筒靴,以备不时之需。暑假在田里做试验时,团队老师和同学们都在一起,亲力亲为。
“热!累!”这是该学院2020级学生张昶维对今年暑假的总结。当时,四川盆地遭遇了历史上罕见的高温干旱天气,张昶维等20多名学生加入测产团队,验收今年的粮食生产成果。
学生们试图用抹防晒霜来抵御阳光,但发现用处不大,最后只戴了袖套,防止割伤。暑假的这段经历,让在城市里长大的王杰平感受到“每一粒粮食都来之不易”,也“对农业有了更深刻的认识”。
下田,是眉山职业技术学院现代农业技术专业学生的必修课。虽然专业名称里带着“现代”两个字,但魏文武认为,无论技术怎么发展,下田永远都应该是农学专业学生的“必修课”,这是他们认识农业的关键一环。
团队里的青年教师也在这个过程中得到了锻炼。通过组织“一优两高”生产竞赛以及接地气的研究工作,魏文武团队每年都有论文成果发表,也锻炼了包括90后青年教师在内的团队成员的科研能力。
近年来,魏文武团队的多项生产技术得到推广应用,累计推广面积587.20万亩,最高单产达到969公斤/亩,创造了四川平原浅丘水稻高产纪录。机插秧“基缓追速”施肥技术减少了施肥次数、施肥量,并显著提高产量,仅施肥管理一项的节本增效就超过80元/亩。
截至目前,通过“一优两高”水稻新品种试验,魏文武团队累计完成340余个水稻品种的多年对比试验,筛选出40个适种该区域的优质高产品种,推动区域优质水稻占比由2012年的不足12.45%增长至2021年的86.55%,解决了本区域水稻产量不高、品质不优的问题。
今年8月,魏文武被评为四川省农业丰收奖“先进个人”。作为来自高校的获奖者,魏文武认为,如果科研工作不融入粮食生产过程中,就谈不上学有所用。因此他更看重技术推广之后给粮食增产、农民增收带来的实际改变。
他说:“粮食增产、农民增收,比发表论文更令人喜悦。”
(中国青年报 记者 王鑫昕)
(文图:赵筱尘 巫邓炎)