现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
确保产业链供应链循环畅通******
中央经济工作会议强调,围绕制造业重点产业链,找准关键核心技术和零部件薄弱环节,集中优质资源合力攻关,保证产业体系自主可控和安全可靠,确保国民经济循环畅通。
落实中央要求,相关部门聚焦重点产业链薄弱环节加快补齐短板,确保重点企业稳定生产和物流畅通,各地加快补链、延链、强链,保障产业链供应链安全稳定,注重挖掘增量政策空间,聚焦薄弱环节精准加力,为工业经济稳定恢复增强动能。
千方百计稳生产
一段时间以来,疫情防控重点医疗物资生产保供成为重中之重。工信部副部长王江平表示,为了确保疫情防控重点医疗物资的产业链供应链循环畅通,工信部指派专员现场办公,协调解决企业物流、用工、原料采购等困难,保障企业生产不断、供应稳定。
各地各部门将工业经济稳定恢复放在重要位置,及时出台系列举措,提升产业链供应链韧性和安全水平,指导企业应对疫情冲击,实现稳产达产,加强能源和重要原材料、关键零部件供应保障,振作工业经济。
多地采取一系列新举措,全力确保产业链供应链安全稳定。比如,江西省通过建链、畅链、保链、强链、护链“五链合一”,招大引强做好“建链”,产销对接做好“畅链”,精准施策做好“保链”,创新引领做好“强链”,政府推动做好“护链”,全力保障产业链供应链循环畅通。青海省西宁市统筹推进产业链“链主制”+重点企业“包保服务制”,加快重大项目建设落地,大力发展新兴产业,千方百计稳生产、保运行、促发展,以点带链、以链带面促进工业经济平稳运行……
“当前,各地确保产业链供应链循环畅通的主要措施包括,提升产业链重点企业的保供能力,通过白名单等方式,全力支持重点企业复工复产;保障货运物流畅通,推进跨区域协同,疏通供需卡点堵点;加强产业链供应链的数据收集和信息共享,主动撮合供需,贯通生产、分配、流通、消费等各个环节。”赛智产业研究院院长赵刚说。
抓住关键补短板
2022年12月31日,被誉为“争气机”的首台国产F级50兆瓦重型燃气轮机首次点火成功,标志着东方电气集团历时13年自主研制的该燃气轮机向商业化运行又迈出重要一步。
近年来,关键领域技术攻关不断取得积极进展,制造业核心竞争力进一步提升。“但也要看到,我国产业链仍然存在薄弱环节,在一些领域总体表现为‘缺芯少魂弱基短件’。”中国宏观经济研究院产业所工业室主任付保宗表示,特别是在集成电路及专用设备、操作系统及工业软件、航空发动机及机载设备、关键材料等重大基础领域,由于技术门槛高、产业化难度大,“卡脖子”风险日益显现。同时,基础研究积累薄弱,原创性成果相对缺乏,一些产品研发与应用脱节,前沿技术产业化能力不足,产品开发成功率较低。
中央经济工作会议强调,着力补强产业链薄弱环节。如果说千方百计稳定企业生产是当前确保产业链供应链循环畅通的重点,那么补短板则是着眼长远的必经之路。
“补强产业链薄弱环节,要分兵突围,多向发力。”付保宗认为,首先,要探索市场条件下的新型举国体制,支持探索以下游重点需求用户为主导,建立上下游、产学研多方参与的市场化技术攻关联盟组织。其次,针对一些竞争性领域的产业链短板环节,动员各类市场主体开展研发,鼓励新型研发机构探索新型组织模式,支持构建多种形式产学研用共同体。
“要坚持科技自立自强,聚焦重点产业链薄弱环节加快补齐短板。针对关键环节‘卡脖子’、新增长点支撑不足等结构性制约,推进补链强链,加快培育新动能。”工信部副部长辛国斌说。
培育激发新动能
没开灯的厂房里,传送带不停运送着零部件,一部部手机接连下线,几乎看不到工人……2022年,小米北京亦庄智能工厂一直处于开足马力的状态,生产了上百万台高端智能手机。厂长周毅介绍,通过对产线的不断优化改进,目前小米工厂已将200多道手机生产工序的自动化率提高到75%,相比传统产线生产成本下降超20%。
付保宗表示,数字技术正深刻改变制造业发展模式,加速提升产业效率,不断催生新模式、新业态、新产业,为工业增长创造新动能。要落实好“首台套、首批次、首版次”等扶持政策,进一步激发工业企业开展新一轮技术改造的动力,以信息化培育新动能,以新动能推动新发展。
“随着疫情防控措施的优化,因物流不畅造成的产业链供应链堵点问题将大幅减少。来自外部的技术、产业和贸易限制可能成为影响我国产业链供应链稳定性的重要因素。”赵刚说。
江苏省发展改革委二级巡视员李义介绍,江苏正加快建设自主可控安全高效产业体系,将更多要素资源投向先进制造业领域。福建省工信厅党组书记、厅长翁玉耀表示,已制定企业数字化转型行动计划,推进140个新一代信息技术与制造业融合项目建设,召开产业数字化转型晋江现场会,推广先进典型示范标杆。
“我们将牢牢把握高质量发展这一首要任务,坚定信心决心,聚焦自立自强,统筹发展和安全,锻长板、补短板、强基础,加强传统产业改造升级,加快培育壮大新兴产业,全面提升产业体系现代化水平。”工信部党组书记、部长金壮龙说。(黄 鑫)
(文图:赵筱尘 巫邓炎)