联系我们
  • 万博manbetx官网|万博官网
  • 全国服务热线:
  • 手机:
  • 传真:
  • 邮箱:admin@baidu.com
  • 地址:广东省广州市天河区88号
当前位置:官网首页 > 新闻资讯 > 行业新闻 >

技术专家揭秘SDK乱象:超六成含有多种风险漏洞

时间:2019-10-04 15:01 作者:

  【国家网络安全宣传周·业界之声】

  光明网记者 李政葳

  只要一张正脸照,就可以替换为影视作品或小视频中人物,生成以自己为主角的视频片段……最近,一夜爆火的AI换脸软件“ZAO”引发热议。好玩的换脸技术背后,并不是人们想象的那么简单,面部识别信息一旦被滥用,后果将不堪设想。

  在2019年国家网络安全宣传周期间,爱加密高级技术专家程智力告诉光明网记者:“目前个人信息安全市场整体情况并不容乐观,App违规收集使用个人信息现象也很普遍。用户往往在不知情的情况下,不声不响地就被窃取了个人敏感信息,并被不法分子利用进行非法交易。”

  让记者印象深刻的是,今年央视的3·15晚会上发布的个人隐私通过手机App泄露的案例。现场主持人使用一款App查询个人社保信息,一旁的网络安全专家通过抓取分析数据包发现,用户信息在查询时已被发送至一家大数据公司的服务器。

  程智力表示,App个人隐私安全问题主要集中在五个方面:一是实际收集的个人信息与业务功能无关,比如,金融借贷类App收集用户通信录等;二是未公开收集使用个人信息的规则,比如,没有隐私政策或隐私政策中没有如何收集使用个人信息的相关内容;三是无法注销账号,App不提供注销功能或注销后不及时删除个人信息;四是将基本业务功能与其他业务功能“捆绑”,要求用户一次性授权同意收集个人信息,不同意则拒绝提供任何业务功能;五是未经用户同意收集个人信息,或在提醒用户阅读隐私政策前就开始收集、上传个人信息。

技术专家揭秘SDK乱象:超六成含有多种风险漏洞

(图片来源于网络)

  2018年5月1日实施的《信息安全技术个人信息安全规范》规定,有关数据控制方“若接收方处理个人信息超出上述范围的,还应在合理期限内另行征得个人信息主体的明示同意。欧盟《通用数据保护条例》(GDPR)则对何谓有效的“个人同意”做了严格的要求:个人沉默、预先勾选和静止状态不足以认定个人表达了“同意”。

  另外,程智力还提到,有关常用SDK(软件开发工具包)收集个人信息现象同样不容忽视。在日前举办的第七届互联网安全大会上,南都个人信息保护研究中心发布的一份测评报告指出,受测的60款App平均每款使用19.3个SDK,有的SDK收集个人信息时未在其宿主App的隐私政策或弹窗中告知;有的SDK存在隐瞒收集个人信息的嫌疑;还有的会向自己的服务器回传未经加密的用户个人信息……

  “最关键的问题是目前信息安全市场并不是十分完善。比如,有关SDK的个人信息安全并没有出台统一的违法违规行为标准,因此对于SDK普遍存在隐瞒收集用户个人信息的行为,也没有明确的标准进行规范。”程智力说。

  据爱加密的大数据中心数据看,截止今年4月底共计收录Android应用数据约267万条,其中超50%的App都不同程度的使用了第三方公司提供的SDK工具包;爱加密已收录SDK工具包414个,包括广告、框架、推送、统计、地图、支付、社交等类别,有超过60%的SDK含有多种风险漏洞。

  “应用开发者为了实现功能的快速开发,通常会在互联网上查询相关SDK来进行调用,如果这种SDK来源不可信或来源公开透明时,就会出现SDK源码透明、接口暴露等潜在风险。”程智力说。

  他还提到,SDK中如果植入恶意程序,通过论坛、开发者辅助网站等方式引诱开发者下载集成,恶意代码就可能在开发者不知情的情况下进行App集成,再被用户安装、运行后,可能出现信息盗取、传播垃圾信息、远程控制、诱骗欺诈等违法行为。

  针对SDK的安全防护,程智力认为,应采取“分段保护 数据验证”的思路。也就是说,在保证SDK业务运营发展前提下,针对SDK的事前、事中、事后被破解、盗用、异常等行为进行及时快速的发现。

  宣传周期间,国家计算机病毒应急处理中心常务副主任陈建民介绍,为构建App和SDK安全治理的长效机制,国家计算机病毒应急处理中心将建立扁平化快速处置联动机制。比如,对国内主流App分发渠道实时监测,从而掌握现存App分发渠道数量、下载量、新增量、活跃度等情况,为监管部门掌握行业动态和发展规律提供基础信息。

上一篇:多地鼓励“远程审方” 执业药师短缺问题能否缓解?

下一篇:我国乡、村两级妇联执委达770余万人 建立90多万姐妹微信群