首页
学习
活动
专区
工具
TVP
发布

你的APP引入的第三方SDK可能是个“暗桩”

图片来源 Pixabay

当下,个人隐私数据相关话题受到公众广泛关注。手机APP作为人们日常工作、生活必不可少的一部分,承载着极强的用户隐私相关属性。保护个人隐私的意识在APP的用户群体中愈发凸显——卸载一个APP的理由有很多,有时只因为“你要的权限太多了”。

诚然,“权限”不等于“个人隐私”,但对于APP用户,“权限”等于“你能干什么事”,进而可以引申为“你一定会干这些事”。

虽然很多时候用户的猜忌是“无厘头”的,但苦就苦在,APP没有一张“好人卡”。于是就出现了这样一个矛盾:“干坏事”的APP和“不干坏事”的APP被用户一视同仁了,用户不信任APP,APP也难以自证清白。

2019年8月8日,全国信息安全标准化技术委员会发布了关于开展国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》征求意见工作的通知。

该国家标准的设立具有重大意义,一旦正式开始实施,则APP收集用户的个人信息的方式、方法和内容将有标准可依,APP的安全认证工作也能被极大地推进。可以预见,后续不符合标准的APP一经核实,将面临应用下架、用户声讨、行业谴责和监管整治等局面。

APP究竟有没有侵犯用户的隐私,或者说有没有过多地采集那些不必要的用户信息,其实自己是“门儿清”的。但关于标准的合规,仍旧有以下几个盲点:

一是不清楚怎么样算合理合法地获取用户信息,有哪些具体的细节需要注意;

二是对于引入的第三方SDK,APP并不能完全地知晓这些SDK到底做了哪些操作,而SDK和APP对于用户来说是一体的,虽然用户无法感知到SDK的存在,但是如果引入的SDK不合规,那么APP一定不会合规。

不幸的是,有相当一部分SDK都或多或少地采集了不必要的用户信息。中国金融认证中心(CFCA)与南方都市报隐私护卫队关于SDK获取个人隐私的测评和调查结果显示:

一些SDK虽然没有在官方文档中申明所用某类权限或者收集某类数据,但是在实际的分析中它被发现会根据其嵌入的APP的具体权限,选择性地收集用户的个人信息,收集的部分信息甚至超出了官方材料申明的范围;有的SDK甚至被发现具有疑似后门的特征。

从这个角度来看,“不做坏事的APP”其实也并不能保证自己真的没有问题——尽管APP可能是被动的,毫不知情的。

SDK是软件供应链中重要的一环,在为APP开发运营方提供标准、统一和方便的业务功能时,同样也带来了不可避免的风险。

近年来,在国内外范围内发生过多起因引入恶意或存在漏洞的第三方SDK而造成的严重的信息安全事故。据悉,2015年,百度Moplus SDK被发现具有后门功能,攻击者只要与用户同处一个局域网环境、甚至是连接同一个基站,他就能远程安装恶意的后门木马,达到控制手机的目的;“有米”、“个信”等SDK也曾被发现存在未经允许收集用户的个人信息的安全隐患,导致百款嵌入了上述这两种SDK的移动客户端应用软件因安全问题被苹果应用商店和Google Play悉数下架;“寄生推”SDK则可以通过预留的“后门”发布恶意广告和强制应用推广,影响了300多款知名移动应用程序和数以千万计的用户。

对于企业来说,构建一个良好的SDK准入流程或标准是解决此类问题最有效的措施。但由于SDK的特殊性,一般很难对其进行全方位的测评,这就给SDK准入工作的推进造成了困难。

CFCA作为国内首批提供APP安全和SDK供应链安全检测的权威第三方测评机构,目前已经为多个监管机构、认证单位、社会媒体对APP的安全和个人信息的安全提供了全方位、专业和定制化的测评服务,并积累了行业少有的SDK测评案例,可以帮助企业开展SDK准入类和其他软件安全类的第三方测评工作。

在用户对保障个人信息安全、财产安全的呼声越来越高,对安全事故的发生忍耐力越来越低的今天,给APP做全方位的“体检”俨然成为APP开发运营方必修的功课。体检要趁早,莫等“期末考试”,上有“监管老师”,下有“阅卷用户”时候出了问题,才悔之晚矣。

文|中国电子银行网 介磊

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190820A05CJ600?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券