【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
95后消费态度:社交“众乐乐”生活“享一人”******
随着时间的流逝,后浪95后已逐渐长大。作为未来最重要的新增消费力量,他们表现出了“独乐乐不如众乐乐”的社交态度,将小众圈层文化推向大众。同时,在生活态度上,他们能够静享“单身时光”,在找到伴侣或成家前,一个人的日子也绝不凑合,带动单身经济崛起。
国潮汉服“破圈”
小众圈层文化走向大众
95后的圈层文化众所周知。《成年95后消费趋势研究》显示,他们秉持着独乐乐不如众乐乐的态度,凭一己之力将各小众圈层文化推向大众,推向了更多代际的人群,国潮与汉服就是最典型的代表。以汉服为例,几年前,只有一小部分人热衷于讨论中国传统文化,在线上秀汉服,鲜少有人在线下穿汉服。不过几年时间,汉服已经成为日常装扮风格之一,出现在街头、商场等各类公共场所,普通大众也习以为常。汉服成功从“三坑”文化成为大众服饰文化。
一份基于得物App95后群体的调研报告显示,新生代对传统文化的追寻由外至里,掀起新国潮。白皮书显示,72%的95后年轻人对中国传统文化具备较强的认同感。以中国文化、民族特色与手工艺为创意源头的国风浪潮,持续为全球潮流提供重要养分。
值得关注的是,这届年轻人消费也要明明白白。去年,“雪糕刺客”一词走红网络,网友对不明就里地被动消费“高价”雪糕表示不满。根据OMG数据显示,在社交平台上关于“雪糕刺客”的讨论发帖中约有四成为95后。他们比起其他代际人群更懂得运用互联网来获取信息,做出最适合自己的判断。他们让消费返璞归真,回归理性使用,他们不需要任何“嘴替”,会主动拒绝不适合自己的产品。
一个人也不凑合
“单身经济”崛起
随着更多95后长大成人,未做出成家选择之前,越来越多的独生子女加入“独行侠”行列。95后的独行,不单单是成为一名孤独美食家,他们的“独身”体现在方方面面:单身公寓的出现,一个人定制旅行产品的上线、迷你歌房的普及、迷你小家电的热销都体现了他们一个人也能很快乐的理念。
也因此,商家针对“一人经济”做足准备:食品行业推出半份菜、小包装产品;家电行业推出迷你小家电,娱乐行业如剧本杀密室纷纷推出拼场活动等,都在为单身年轻人提供更多生活、娱乐方面的便利。
此外,越来越多的95后会养“四脚吞金兽”来陪伴自己。调查显示,目前国内铲屎官的年龄分布中有35%为95后,占比高于其他年龄代际。宠物陪伴已成为“空巢青年”的一种心灵陪伴。他们将宠物视为家人,晒猫遛狗成为他们的日常。还有约三成的95后宠物主表示,养宠物后自己的社交能力变强了。
愿意为兴趣“买单”
犒赏自己不含糊
这届年轻人更愿意把钱花在哪里呢?《腾讯00后研究报告》显示,62%的00后愿意为自己的兴趣投入很多时间和金钱。77%的00后容易为有自己熟悉或喜欢元素的产品买单。与动漫、学习、游戏等方面内容结合的产品,更容易引起他们的关注。
数据显示,冲动消费、犒赏自己、虚拟偶像、二次元、手办等相关声量中,95后近半年来排名进入首位。
分析显示,到2024年,全球元宇宙的市场规模将达到8000亿美元。中国95后虽然在数字领域的“氪金”程度略低于85后,但是增速明显,预计不久后将反超其他代际人群。
新生代将虚拟生活融入现实,也乐于用科技加持消费体验。基于得物App95后群体的调研报告也显示,超过24%的一线及新一线城市的95后更被数字化的品牌互动方式所吸引:他们希望通过VR、AR、数字藏品等方式与品牌产生关联。因此,众多品牌加速开发和应用虚拟技术,与新生代建立更加沉浸的链接,吸引更多年轻粉丝群体。
此外,95后人群具有高潜力、高活力、高调性三大特征,愿意为品质、体验、审美、价值观付费。在品质方面,他们对产品的原材料、工艺、功能性提出更高要求:更多人在意购买的产品是否为正品,品质感成为潮流消费时最看重的三大因素之一;审美方面,年轻人群“以审美画圈”,对有共同审美的人更有认同感。
文/本报记者 陈斯
(文图:赵筱尘 巫邓炎)