【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

师恩难忘******

　　刘末利

　　1960年，对于当下，已是十分遥远。对于我，那时从学校毕业，加入中新社大家庭的情景，还是如此清晰在目。那时的我，即使与同时进中新社的同学相比，也显得非常稚嫩。我的第一个工作岗位是在专稿部通讯组。资深同事们对我关爱有加，社领导、部门领导对我的点滴表现，都给予鼓励、赞许。

　　记得1961年的春天，我奉命出差，地点是天津市区。组内资深记者张益常陪我同行，她侧重采访天津郊区。这样的安排体现了良苦用心。当时兼部主任的副社长王纪元说过：“要是刘末利一个人出门，还分不清东南西北呢。”

　　几十年来，这个“评语”一直牢记在心。1963年初，我奉调至上海记者站。第二年的春天，浙江省侨务工作会议在杭州召开。总社指定我前往采访是次会议。第一次采访大型会议，我毫无把握。到了杭州，得知张帆社长也将应邀赴会，更使我忐忑不安，心想千万不能在社领导面前“出洋相”。张帆社长抵达杭州后，抽空了解了我的采访计划。他当即给我出题目，约请与会的杭州、宁波、温州等市侨务部门负责人座谈，他也参加。社长手把手的指导，真是十分难得的学习机会。一切安排妥当，座谈就在晚上。趁那天下午休会，常驻杭州的摄影记者沈鸣陪张帆社长游虎跑，我也随行。我们在虎跑山上喝茶、聊天。后又驱车前往梅家坞，品尝龙井新茶。我倒是先把握了这个“机会”，享受龙井的美妙，一杯接一杯，忘乎所以。返程途中，自我感觉不妙——晕车了。回到宾馆，免去晚饭还不行。待到座谈会即将开始，与会者陆续到达。我却因胃里“翻江倒海”，忍不住奔进卫生间一阵呕吐。多少年来，无论我怎样努力，也想不起那次座谈的主题以及写稿过程，永远记得的是张帆社长曾经说过：“你这种身体，怎么当记者呀！”

　　这个“洋相”出得够可以的了。晕车固然是因为“内耳前庭平衡感受器受运动刺激而影响神经中枢的症状”，算不上疾病，但对一个记者确实很麻烦。“杭州事件”使我明白必须与那个平衡感受器“对着干”。后来，我因采访而海、陆、空都“晕”过了。印象最深的是上世纪80年代前期，上海决定恢复经过台湾海峡的上海至福州航班，我参加首航采访。事先我一心要在船上“现场采访”。没料到船刚出吴淞口，我就晕得躺倒了。眼看完成任务有难，幸好一位同行大力支持。他根据我的要求在旅客中物色采访对象，再陪着我前去。我就在“采访—躺下—再采访—再躺下”的节奏中完成“首航”。

　　岁月流逝。时至上世纪70年代末，终于盼来中新社恢复建制。我从上海某出版社回归中新社。1979年初，上海分社“开张”，包括分社负责人，人员只有七八个，我包揽了上海全部的经济报道工作。那时国家进入“以经济建设为中心”的新时期。上海曾经是远东经济发达的大城市，又是全国工业基地；在执行国家经济体制改革、对外开放的方针中，自有许多符合经济规律的创新之举。何况还有引进30万吨乙烯工程的上海石油化工总厂、以进口矿砂为原料的宝山钢铁总厂正在加紧建设。在这样的背景下，上海分社的经济报道应该做得有声有色，实际上却是将近3年没有达到总社的要求。上海分社“经济报道没做好”，使我承受巨大压力。我感到迷惘，无所适从。某年，总编室主任徐曰琮来上海分社。我不知道他此行的“任务”。但是他私下对我说，上海分社经济报道没有做好，责任不在于我，我已经尽职了。此话使我得到极大宽慰。1982年春，当时的副社长王士谷率总社新闻部、专稿部及广东、福建等分社的各路精英云集上海，召开经济报道工作会议。会议下达了总社对经济报道的方针和思路，交流了经济采编的经验。会下有关部门领导对我更有针对性地点拨和指导，特别鼓励我要敢于采访重大题材。于我，真是醍醐灌顶！总社领导在多年没有做好经济报道的上海分社召开经济工作会议，目的明确，效果显见。我走出了“中新社是新华社的补充”、“上海分社以报道侨务、文艺、体育等‘三宝’为主”等中新社初创时期办社和报道思想的局限，在报道思想和业务能力上都进入了一个新阶段。

　　也是在1982年，总社召开专稿工作会议，明确了“面向中间，反映现实”的专稿工作新方针。这是针对国内外形势的变化，针对海外读者迫切希望了解中国新时期政治、经济新动向而拟定的。其时香港《明报》、《快报》等常见署名“宗涓”的专电，评述中国时政。文笔挥洒自如，读得我如痴如醉，不胜钦羡。我本专稿部出身，于是学样“跟进”。专稿部负责人时来电话，给我鼓励。1984年底，我赴总社参加工作会议期间，还当面请教，受益匪浅，为我此后坚持专稿写作打下基础。上述时期，除了总社和相关部门领导之外，我的多位老同事，也给我莫大支持和鼓励，他们是我的益友，更是良师。我永远感谢他们。挂一漏万，在此不一一列举姓名了。

　　1984年底，各地方分社换班。总社委任我为上海分社采编主任。我毫无思想准备，心中茫然。刚卸任的上海分社社长姚凡对我关心又支持。他“面授机宜”道：不要脱离采编第一线。一来采编业务是我的“强项”；二来只有身在“第一线”才能指挥和组织分社的采编活动。后来，我一直按照他提示的原则去做。虽然辛苦，于我个人、于分社都足见成果，毋庸多言。

　　在中新社40年一路跋涉之中，得到多位领导、资深同事们的培养、帮助，十分难得；唯有满怀感激，永远念叨：“师恩难忘”！

　　(历史资料)