近年來�����,隨著移動互聯(lián)產(chǎn)業(yè)的興起�����,移動應用軟件(Application�����,App)逐漸滲透到社會生活的各個領(lǐng)域�����,為大眾提供精細化場景化服務�����。在面向細分領(lǐng)域發(fā)展的同時�����,App種類和數(shù)量呈爆發(fā)式增長�����,軟件開發(fā)工具包(Software Development Kit ,SDK)被廣泛集成�����、應用�����,為日益豐富的App功能�����、服務提供了技術(shù)上的解決方案�����。
數(shù)字經(jīng)濟時代下�����,移動應用場景迅速擴展�����,SDK逐步成為移動業(yè)務價值拓展的重要組成部分�����。然而�����,由于SDK具有泛用性�����、靈活性等特點�����,一旦出現(xiàn)安全問題�����,不僅自身業(yè)務受到直接影響�����,也會威脅到集成SDK的App業(yè)務安全和數(shù)據(jù)安全�����,嚴重的情況下甚至可能影響移動應用系統(tǒng)生態(tài)安全。
隨著安全形勢不斷變化�����,SDK的安全合規(guī)問題已經(jīng)進入各方視野�����,SDK可能存在的安全漏洞�����、惡意行為�����,以及隱藏在App背后不透明地收集使用個人信息等問題逐漸成為各方關(guān)注的焦點問題�����。
報告從場景分析�����、數(shù)據(jù)統(tǒng)計�����、政策標準方面分享了SDK行業(yè)發(fā)展現(xiàn)狀�����,對SDK行業(yè)面臨的合規(guī)風險�����、安全風險進行了分析�����,面向SDK及App開發(fā)者提出了安全措施建議�����,并從實踐角度分享案例和經(jīng)驗,為促進SDK行業(yè)生態(tài)的健康發(fā)展提供參考�����。
SDK通常無法獨立展示前臺頁面�����,其告知行為往往需要借助宿主App傳達給用戶�����,但由于部分SDK未向App告知或完整告知自身所收集的個人信息,或者SDK公開了收集使用規(guī)則但App未向用戶明示等原因�����,使得用戶對SDK收集個人信息行為毫無感知。還有部分SDK未經(jīng)用戶同意�����,私自調(diào)用權(quán)限隱蔽收集個人信息�����,私自通過自啟動�����、關(guān)聯(lián)啟動等方式收集個人信息�����。SDK未經(jīng)用戶同意收集個人信息�����,不僅增加了自身的違規(guī)風險�����,也會為宿主App制定收集使用規(guī)則�����,全面列舉收集使用的個人信息帶來障礙�����。
SDK實際收集的用戶個人信息超出公開文檔所聲明的系統(tǒng)權(quán)限和個人信息�����。此類行為主要表現(xiàn)為SDK收集與其所提供服務無關(guān)的個人信息�����,強制申請非必要的權(quán)限�����,私自調(diào)用權(quán)限隱蔽收集個人信息�����,私自通過自啟動�����、關(guān)聯(lián)啟動等方式收集個人信息�����,自動收集個人信息的頻度和時機不合理等�����。例如�����,部分SDK會收集非必要的設(shè)備信息、網(wǎng)絡(luò)環(huán)境信息�����,讀取用戶設(shè)備已安裝應用程序列表�����,甚至超范圍收集用戶通訊錄�����、通話記錄�����、地理位置等敏感個人信息�����。
SDK幫助App開發(fā)者實現(xiàn)登錄�����、支付�����、推送�����、數(shù)據(jù)統(tǒng)計分析等業(yè)務功能�����,存在未經(jīng)用戶授權(quán)使用個人信息的合規(guī)風險�����。一方面�����,SDK收集的個人信息可能涉及個人身份�����、財產(chǎn)等敏感信息�����,還可以通過App權(quán)限情況獲得位置信息、短信信息�����、鑒權(quán)信息等�����,如果未經(jīng)用戶授權(quán)使用�����,有可能嚴重損害用戶權(quán)益�����。另一方面�����,第三方SDK可能被各行業(yè)各類型的App集成�����,從而匯集多款App用戶個人信息�����,一旦相關(guān)信息被用于實施詐騙�����、社會工程攻擊等違法行為�����,其危害程度較單個App數(shù)據(jù)濫用事件更加嚴重�����。
一方面�����,部分SDK存在明文傳輸用戶電話號碼�����、設(shè)備MAC地址等個人信息�����,或者私自向其他應用或服務器發(fā)送、共享用戶個人信息的情況�����,可能被宿主App或本地惡意程序截獲�����,導致用戶個人信息泄露�����。另一方面�����,在未經(jīng)用戶同意的情況下�����,SDK有可能采取加密等方式私自傳輸收集的個人信息�����,如果SDK收集使用個人信息行為及相關(guān)信息未完全向宿主App告知�����,會為宿主App帶來額外的合規(guī)風險�����。
目前許多App與SDK通過開放平臺在線簽署開發(fā)者服務協(xié)議來約定權(quán)利義務�����,然而開發(fā)者服務協(xié)議通常缺少專門約束數(shù)據(jù)安全的規(guī)定�����,同時App針對SDK收集個人信息行為進行技術(shù)檢測存在一定難度,使得App對嵌入的SDK收集使用個人信息情況難以完全掌控�����,集成第三方SDK時容易引入個人信息合規(guī)風險�����。服務提供方應如何合法�����、合規(guī)地收集�����、保存�����、使用個人信息�����,App如何對共享給SDK的個人信息�����、雙方權(quán)利義務及第三方SDK收集使用個人信息情況等加強管理監(jiān)督,正逐漸成為移動應用領(lǐng)域亟待解決的問題�����。
本文由培訓無憂網(wǎng)長沙牛耳教育課程顧問老師整理發(fā)布�����,希望能夠?qū)ο朐陂L沙參加影視動漫培訓的學生有所幫助�����。更多課程信息可關(guān)注培訓無憂網(wǎng)電腦IT培訓頻道或添加老師微信:15033336050
注:尊重原創(chuàng)文章,轉(zhuǎn)載請注明出處和鏈接 http://m.universityresearchassociates.com/news-id-13953.html 違者必究�����!部分文章來源于網(wǎng)絡(luò)由培訓無憂網(wǎng)編輯部人員整理發(fā)布,內(nèi)容真實性請自行核實或聯(lián)系我們�����,了解更多相關(guān)資訊請關(guān)注程序開發(fā)頻道查看更多�����,了解相關(guān)專業(yè)課程信息您可在線咨詢也可免費申請試課�����。關(guān)注官方微信了解更多:150 3333 6050
