近年來����,隨著移動互聯(lián)產(chǎn)業(yè)的興起��,移動應(yīng)用軟件(Application��,App)逐漸滲透到社會生活的各個領(lǐng)域�,為大眾提供精細(xì)化場景化服務(wù)����。在面向細(xì)分領(lǐng)域發(fā)展的同時�,App種類和數(shù)量呈爆發(fā)式增長��,軟件開發(fā)工具包(Software Development Kit ���,SDK)被廣泛集成�、應(yīng)用�����,為日益豐富的App功能�、服務(wù)提供了技術(shù)上的解決方案。
數(shù)字經(jīng)濟(jì)時代下�,移動應(yīng)用場景迅速擴展,SDK逐步成為移動業(yè)務(wù)價值拓展的重要組成部分�。然而,由于SDK具有泛用性����、靈活性等特點,一旦出現(xiàn)安全問題�����,不僅自身業(yè)務(wù)受到直接影響,也會威脅到集成SDK的App業(yè)務(wù)安全和數(shù)據(jù)安全��,嚴(yán)重的情況下甚至可能影響移動應(yīng)用系統(tǒng)生態(tài)安全���。
隨著安全形勢不斷變化���,SDK的安全合規(guī)問題已經(jīng)進(jìn)入各方視野,SDK可能存在的安全漏洞��、惡意行為���,以及隱藏在App背后不透明地收集使用個人信息等問題逐漸成為各方關(guān)注的焦點問題�����。
報告從場景分析��、數(shù)據(jù)統(tǒng)計、政策標(biāo)準(zhǔn)方面分享了SDK行業(yè)發(fā)展現(xiàn)狀����,對SDK行業(yè)面臨的合規(guī)風(fēng)險、安全風(fēng)險進(jìn)行了分析���,面向SDK及App開發(fā)者提出了安全措施建議�����,并從實踐角度分享案例和經(jīng)驗��,為促進(jìn)SDK行業(yè)生態(tài)的健康發(fā)展提供參考����。
SDK通常無法獨立展示前臺頁面,其告知行為往往需要借助宿主App傳達(dá)給用戶���,但由于部分SDK未向App告知或完整告知自身所收集的個人信息���,或者SDK公開了收集使用規(guī)則但App未向用戶明示等原因,使得用戶對SDK收集個人信息行為毫無感知���。還有部分SDK未經(jīng)用戶同意�����,私自調(diào)用權(quán)限隱蔽收集個人信息�,私自通過自啟動、關(guān)聯(lián)啟動等方式收集個人信息����。SDK未經(jīng)用戶同意收集個人信息,不僅增加了自身的違規(guī)風(fēng)險���,也會為宿主App制定收集使用規(guī)則����,全面列舉收集使用的個人信息帶來障礙���。
SDK實際收集的用戶個人信息超出公開文檔所聲明的系統(tǒng)權(quán)限和個人信息�。此類行為主要表現(xiàn)為SDK收集與其所提供服務(wù)無關(guān)的個人信息���,強制申請非必要的權(quán)限���,私自調(diào)用權(quán)限隱蔽收集個人信息,私自通過自啟動����、關(guān)聯(lián)啟動等方式收集個人信息,自動收集個人信息的頻度和時機不合理等����。例如,部分SDK會收集非必要的設(shè)備信息�、網(wǎng)絡(luò)環(huán)境信息,讀取用戶設(shè)備已安裝應(yīng)用程序列表�����,甚至超范圍收集用戶通訊錄����、通話記錄、地理位置等敏感個人信息�。
SDK幫助App開發(fā)者實現(xiàn)登錄、支付����、推送、數(shù)據(jù)統(tǒng)計分析等業(yè)務(wù)功能����,存在未經(jīng)用戶授權(quán)使用個人信息的合規(guī)風(fēng)險。一方面�����,SDK收集的個人信息可能涉及個人身份、財產(chǎn)等敏感信息����,還可以通過App權(quán)限情況獲得位置信息、短信信息��、鑒權(quán)信息等�,如果未經(jīng)用戶授權(quán)使用,有可能嚴(yán)重?fù)p害用戶權(quán)益���。另一方面�����,第三方SDK可能被各行業(yè)各類型的App集成�,從而匯集多款A(yù)pp用戶個人信息����,一旦相關(guān)信息被用于實施詐騙、社會工程攻擊等違法行為����,其危害程度較單個App數(shù)據(jù)濫用事件更加嚴(yán)重。
一方面��,部分SDK存在明文傳輸用戶電話號碼、設(shè)備MAC地址等個人信息�,或者私自向其他應(yīng)用或服務(wù)器發(fā)送、共享用戶個人信息的情況��,可能被宿主App或本地惡意程序截獲��,導(dǎo)致用戶個人信息泄露�����。另一方面����,在未經(jīng)用戶同意的情況下�����,SDK有可能采取加密等方式私自傳輸收集的個人信息���,如果SDK收集使用個人信息行為及相關(guān)信息未完全向宿主App告知��,會為宿主App帶來額外的合規(guī)風(fēng)險�����。
目前許多App與SDK通過開放平臺在線簽署開發(fā)者服務(wù)協(xié)議來約定權(quán)利義務(wù)�����,然而開發(fā)者服務(wù)協(xié)議通常缺少專門約束數(shù)據(jù)安全的規(guī)定���,同時App針對SDK收集個人信息行為進(jìn)行技術(shù)檢測存在一定難度��,使得App對嵌入的SDK收集使用個人信息情況難以完全掌控��,集成第三方SDK時容易引入個人信息合規(guī)風(fēng)險�����。服務(wù)提供方應(yīng)如何合法��、合規(guī)地收集���、保存、使用個人信息����,App如何對共享給SDK的個人信息、雙方權(quán)利義務(wù)及第三方SDK收集使用個人信息情況等加強管理監(jiān)督�,正逐漸成為移動應(yīng)用領(lǐng)域亟待解決的問題��。
本文由培訓(xùn)無憂網(wǎng)長沙牛耳教育課程顧問老師整理發(fā)布�,希望能夠?qū)ο朐陂L沙參加影視動漫培訓(xùn)的學(xué)生有所幫助��。更多課程信息可關(guān)注培訓(xùn)無憂網(wǎng)電腦IT培訓(xùn)頻道或添加老師微信:15033336050
注:尊重原創(chuàng)文章,轉(zhuǎn)載請注明出處和鏈接 http://wsk279.cn/news-id-13953.html 違者必究����!部分文章來源于網(wǎng)絡(luò)由培訓(xùn)無憂網(wǎng)編輯部人員整理發(fā)布,內(nèi)容真實性請自行核實或聯(lián)系我們����,了解更多相關(guān)資訊請關(guān)注程序開發(fā)頻道查看更多,了解相關(guān)專業(yè)課程信息您可在線咨詢也可免費申請試課�����。關(guān)注官方微信了解更多:150 3333 6050
