大众彩票官方网站|大众彩票登录

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

聚焦“国际范” 政协委员支招北京建设国际一流和谐宜居之都******

　　中新网北京1月18日电 (记者 杜燕)《北京城市总体规划(2016年—2035年)》提出，2035年初步建成国际一流的和谐宜居之都，2050年全面建成更高水平的国际一流的和谐宜居之都。正在召开的北京市政协十四届一次会议上，委员们围绕加快建设国际科技创新中心、打造全球数字经济发展“北京标杆”、建设国际消费中心城市等为建设“国际范”大国首都建言献策。

　　2022年，北京国际科技创新中心建设取得显著成效，实现新跃升。据统计，去年北京市研发经费投入强度保持在6%以上，研发支出占地区生产总值比重稳居全国第一；全市新设科技型企业首次突破10万家，同比增长12.21%。

　　北京市政协委员、德勤中国首席执行官曾顺福谈到，创新一直是北京的优势，北京应进一步大力支持科技创新的发展，帮助企业推动数字化转型。而推动科技创新发展的很大动力来自于人才，建议北京加大国际人才引进能力，包括加强顶层设计、定向招引创新人才、加强对此类人才的配套服务以及提升北京市的宜居程度。

　　在他看来，北京可以推动科研和成果转化体制改革，创新科研管理机制，从工作环境、评价机制、薪酬待遇等方面建立有利于国际人才进入的创新环境，加强科研人才跨国流动的市场机制建设和合作方式创新，探索建立外国专家承担课题、联合研发项目经费包干制等科研项目管理改革创新，吸引更多外国高水平专家参与联合研发项目。对科技创业和中小型科技企业给予更多支持，设置科创企业发展基金，举办科技创新大赛，强化国际科研和创业的软硬环节建设等。同时，增强对国际人才的人文关怀和对其家庭成员的配套服务，围绕国际人才工作圈和生活圈，提升城市“软环境”。

　　当前，北京正全面推进智慧城市建设。根据《北京市“十四五”时期智慧城市发展行动纲要》，到2025年，北京将建设成为全球新型智慧城市的标杆城市。来自科技界的市政协委员、奇安信集团董事长齐向东认为，北京在建设智慧城市过程中，亟需打造高水平的智慧城市安全运营中心，树立中国智慧城市建设的标杆，为数字城市发展打牢基础。

　　“智慧城市应用场景复杂，防护难度大，需进一步加固网络安全底座。”在齐向东看来，智慧城市建设已成为现代城市重塑发展新优势、抢占竞争制高点的战略选择，而网络安全是智慧城市的核心底座，网络安全运营水平决定了智慧城市的抗风险能力。目前，奇安信正与西城区合作建设西城区网络安全运营中心，将努力把该运营中心打造成北京网络安全的“名片”，并向全国推广。

　　要打造全球数字经济发展“北京标杆”，齐向东认为，发展与安全是一体之两翼、驱动之双轮，有安全保障的发展，才是健康的、可持续的发展。他建议，进一步加大安全投入，提高网络安全投资在数字经济项目中的占比；另一方面，鼓励重点企业承担技术研发工程，加快突破关键核心技术。

　　《北京培育建设国际消费中心城市实施方案(2021—2025年)》提出，到2025年，北京在国际知名度、消费繁荣度、商业活跃度、到达便利度、消费舒适度、政策引领度等关键指标方面水平显著提升，基本建成国际消费中心城市，形成具有全球竞争力的体育、教育、医疗、会展等一系列“城市名片”。

　　“建设国际消费中心城市，要充分发挥数字经济的引领作用，消费科技场景的促进作用和金融保险的支撑作用，实现传统商圈转型和质量升级。”北京市政协委员、致公党北京市委副主委刘学增建议，北京要优化数字经济生态，对接能源、电力、通信等领域在京央企，组织一批具有较大量级和较强示范带动作用的应用场景；打造沙箱试验区，推动区块链技术在供应链金融、数字贸易治理、跨境支付等领域落地，形成一批标志性的金融科技应用场景；构建具有古都文化特色的数字文化新业态，立足古都创新文化资源优势，丰富数字化智能化应用场景；建设新型数字产业和消费集群，打造集文化、艺术、旅游、体育、休闲、娱乐等丰富多元为一体的消费场景。

　　来自工商联界的市政协委员、振兴国际智库理事长李志起多年来关注国际消费中心城市建设。他认为，国际一流商圈是展示国际消费中心城市的名片，是助力本土品牌走向世界的主场。北京目前有王府井、CBD和三里屯具备国际一流商圈的潜力，在打造差异化和识别度的国际一流商圈方面有一定优势，但也存在缺乏统一规划和管理等问题。

　　李志起建议，进一步统一商圈规划，打造商圈品牌。在商圈布局方面，可借鉴伦敦牛津街和纽约第五大道的空间布局，各商圈周边区域逐步连成一大片，有力提升商圈活跃度。同时，商圈自身建设要和周边资源积极联动，如通过过渡区域的设计将王府井和故宫打通，以人文历史为主脉络，实现文化和商业的交融。(完)

　　（文图：赵筱尘 巫邓炎）