现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
上海网络辟谣:感染XBB.1.5会大小便失禁?权威机构没说过的症状究竟从何而来******url:https://m.gmw.cn/2023-01/04/content_1303244203.htm,id:1303244203
央视网消息:据“上海网络辟谣”公众号,一则“XBB.1.5攻击心血管和拉肚子”的“朋友圈谣言”被截图后广泛传播,让蒙脱石散一夜脱销。相关传言又出现变种,一则朋友圈群聊信息称上海、北京出现XBB.1.5感染病例“大小便失禁”,呼吁大家囤积纸尿裤。上海辟谣平台收到网友留言,希望能核查一下。
没必要囤积纸尿裤和止泻药
根据上海市疫情防控工作小组通报,目前上海所发现的奥密克戎BQ.1和XBB毒株仅在极少数入境隔离人员中检出,尚未在社会面上造成本土传播。
对于XBB.1.5可能引发的临床症状,中国疾控中心介绍,新冠病毒各个变异株,包括XBB系列变异株,都会感染肠道黏膜细胞,但是否出现肠道临床症状和个体差异有关。对于最近受到关注的XBB.1.5进化分支,并没有证据提示它比其他毒株更容易导致严重的腹泻或胃肠道其他临床表现。
武汉雷神山医院感染三科五病区主任、上海新国际博览中心方舱医院中医专家组组长、上海中医药大学急危重症研究所所长方邦江教授在接受健康时报采访时也表示,“XBB.1.5主要临床症状包括呼吸困难、头痛、喉咙痛、鼻塞、全身疼痛、疲劳和发烧等,与当下我国流行的BF.7等症状几乎一致。”可见,不仅纸尿裤没有必要囤积,蒙脱石散等一些止泻药物也不必盲目囤积。
在国外权威机构的研究调查中,也都没有XBB.1.5会引发严重腹泻的论断。具体可以参看上海辟谣平台发布的《上海监测到XBB毒株,到底该怎么预防?一篇看懂!当心有人借新毒株推销》一文。
对于可能出现的腹泻症状,有很多对症治疗的止泻药物,包括具有化湿止泻作用的中药汤剂和中成药,如藿香正气水、痛泻宁颗粒等。这类药物除了止泻作用外,还具有健脾和胃等作用。方邦江说,临床上一般的“病毒性感冒”等也会导致恶心、呕吐、腹泻等“胃肠型感冒”症状,这是正常的病理反映,不要惊慌,不必杞人忧天。
权威机构没说过的症状从何而来
针对XBB.1.5毒株,圈群热传的“拉肚子”“大小便失禁”等“症状”从何而来?
上海辟谣平台溯源发现,这些“症状”大多来自朋友圈或圈群聊天的推测,且发言者不是权威机构和专业医生,转发者也并非来自权威机构或专业人员。
例如,发朋友圈称“XBB.1.5会攻击心脑血管、引发腹泻而导致蒙脱石散一夜脱销”的当事人接受媒体采访承认,“朋友圈的所有内容都是我自己搜索所得,自己总结,但是主攻心脑血管和拉肚子事后忘记出处,所以我发了第二条朋友圈说明了。”
然而,不论是“忘记出处”还是“没有出处”,该网民传播的都是错误信息,最终因广泛传播而引发误解。
与之类似,近期这条“感染XBB.1.5会大小便失禁”的圈群聊天记录同样经不起推敲:聊天对象不明确,无法判断聊天者的身份;聊天称北京有人感染,却没有患者、地点、是否真的感染了XBB.1.5等具体信息。总之,仅从聊天记录,根本无法判断相关内容是否真实。然而,这条“无头无脑”的消息却再次被转发。
从近期涉疫谣言看,不负责任的言论和不加辨别随意转发,是谣言频发的重要原因。部分网民为了博取关注,编造身份、编造事件,如某网民虚构身份称自己是病毒学博士且在5天内感染了两种不同的毒株;也有部分网民是看热闹“不嫌事大”,故意截取那些不负责任或不可靠的言论传播。
总而言之,目前所有关于“感染XBB.1.5会引发严重腹泻”的言论都来自部分网民揣测或故意编造。加上部分网民不了解情况,一传十十传百,才出现了让人啼笑皆非的“蒙脱石散脱销”“囤积纸尿裤”等现象。上海辟谣平台特别提醒,目前多方均对该话题辟谣,希望公众不要再相信并传播那些无中生有、夸大其词的信息。
朋友圈及圈群聊天不能太随意
互联网并非法外之地,发布及传播不负责任的言论,都可能要承担法律责任。
发朋友圈称“XBB.1.5会攻击心脑血管、引发拉肚子”的当事人接受媒体采访时表示,自己已经在当地派出所做了笔录。但因其只是将相关言论发在朋友圈并没有主动散布到微信群、微博等公众平台,所以民警只是对他进行了批评教育。
“没有主动传播”让该网民免于行政处罚。但是,并非所有的不负责言论都能免于处罚。例如,那名编造“病毒学博士5天内感染两种不同毒株”的网友,就被公安机关依法处以行政拘留。
相关法律明确了在各种社交平台、圈群聊天中发布不实信息需要承担的法律责任。例如,治安管理处罚法第25条提到,散布谣言,谎报险情、疫情、警情或者以其他方法故意扰乱公共秩序的,处5日至10日拘留,并处500元以下罚款;情节较轻的,处5日以下拘留或者500元以下罚款。刑法第291条提到“编造、故意传播虚假信息罪”明确,编造虚假的险情、疫情、灾情、警情,在信息网络或者其他媒体上传播,或者明知是上述虚假信息,故意在信息网络或者其他媒体上传播,严重扰乱社会秩序的,处3年以下有期徒刑、拘役或者管制;造成严重后果的,处3年至7年有期徒刑。
在涉疫谣言中,有不少是个人在圈群聊天或发布在朋友圈等社交空间后被截屏传播的。由此可见,社交平台并不是私密空间,都带有一定的公开性质。何况大部分人在社交平台发布信息时,不会声明禁止外传,这意味着相关信息会被再次传播。与之类似,在圈群聊天,尤其是那些人数众多、聊天者未必互相认识的圈群中,任何一个人的言论都可能被截屏传播到圈群之外,而且在截屏过程中也不排除被断章取义。
可见,在社交平台发表未经证实、个人猜测等言论,都可能造成负面影响。因此,建议网民在社交平台或圈群发言时,不要太随意,更不要发布未经证实、纯属个人揣测的消息,避免引“谣”上身。
(文图:赵筱尘 巫邓炎)