【动画】@App开发者们�����,你想了解�����的SDK安全风险都在这�����!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App�����,有13款内嵌第三方SDK存在违规收集用户设备信息行为�����。
现如今,大量App借助SDK实现特定功能�����,提供便捷服务,满足用户多样需要�����,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞�����、SDK恶意行为、SDK收集使用个人信息三类�����。
其中,SDK恶意行为�����是指嵌入APP中�����的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK�����的APP�����的安全性,对用户权益�����、数据等方面造成严重威胁�����。典型的恶意行为如流量劫持、资费消耗�����、隐私窃取等�����。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定�����的目标不同�����,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户�����的情况下�����,隐蔽窃取用户的通讯录、短信息等个人敏感信息�����,隐蔽进行拍照、录音等敏感行为�����,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下�����,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面�����,安天移动安全发现�����,应用接入第三方SDK引发的违规收集个人信息问题较为普遍�����。其中�����,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入�����的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外�����,当前 App 接入�����的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传�����。
由于该SDK 在不同App中存在模块代码和版本�����的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看�����,该SDK 普遍存在违规收集和超范围收集个人信息�����的问题,并且在月活较低�����的 App 接入的版本中�����,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况�����,并且涉及大量用户隐私路径数据�����的访问。
以某知名地图 App为例�����,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址�����。而实际上传的数据中除了包含 WiFi �����的BSSID名称信息外,还频繁上传用户安装应用的列表信息�����。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围�����的最小化原则。而在应用接入�����的 SDK 中�����,收集个人信息范围、频度�����的必要性和最小化原则同样适用于SDK的功能业务场景�����。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑�����,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外�����,还收集了安装应用运行状态信息等�����,这就涉及超范围收集个人信息�����。
例如�����,某统计类 SDK除了应用开发者本身主动调用相关事件接口外�����,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为�����。例如对解锁屏�����、电源连接断开事件进行监听、对用户终端安装�����、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据�����的收集和上传。
另外,当前 App 接入�����的 SDK 中还存在云端控制SDK行为�����,热更新技术控制 SDK 行为�����,后台拉活�����、自动下载安装�����、误触下载等风险行为。
(监制:张宁 策划�����:李政葳 制作�����:黎梦竹)
只靠坚果的沃隆上市路难******
“每日坚果”品类开创者沃隆要上市了�����?1月8日�����,北京商报记者获悉,青岛沃隆食品股份有限公司(以下简称“沃隆”)近日已递交首次公开发行股票招股说明书(上会稿)�����,拟冲刺上交所IPO上市�����,预计募资7亿元�����,3.1亿元用于生产智能化改造及智能仓储物流中心建设项目,2.1亿元用于品牌形象及全渠道销售网络建设项目�����,1.8亿元用于补充流动资金。
官网信息显示�����,沃隆成立于2016年,是集生产加工、国际贸易与电子商务为一体的企业�����,在国内首创每日坚果系列产品,主营产品包括每日坚果系列�����、坚果果干系列�����、烘焙系列。2022年6月22日�����,沃隆食品曾预披露过招股书,保荐机构为中信证券�����。
作为每日坚果品类�����的开创者�����,沃隆凭借先发红利,销售额曾一度突破10亿元。但在近年,沃隆却有些“成于坚果,困于坚果”�����。最新招股书显示�����,2019-2021年�����,沃隆主营业务收入占比分别为99.53%、98.78%�����、98.92%�����,其中混合坚果类产品�����的收入占全部营收�����的比例分别高达92.14%、85.73%�����、75.74%。整体来看�����,坚果业务依然是沃隆�����的主力,整体业务结构较为单一�����。
在招股书中,沃隆表示�����,报告期内混合坚果类产品收入占比仍然较高�����,如果未来该类产品市场竞争加剧或消费者偏好发生改变,可能会对公司生产经营和业绩带来不利影响。据前瞻产业研究院数据�����,中国混合坚果行业市场规模增速自2016年的400%逐渐降至2021年�����的16%�����,行业整体规模增速放缓�����,这对于仅凭坚果扛起营收�����的沃隆来说风险或将更高。
根据招股书,2019年、2020年�����、2021年和2022年上半年,沃隆分别实现营收11.649亿元、8.894亿元、11.079亿元和4.36亿元�����,同期净利润分别为1.312亿元、8870.85万元�����、1.196亿元和2684.53万元。据沃隆预计�����,2022年度营收将在10亿-12亿元之间,较上年同期减少9.74%至增长8.31%;预计实现归属于母公司股东�����的净利润为0.9亿-1.1亿元,较上年同期减少24.74%-8.02%。
同时,由于坚果产业门槛低、可替代性强,入局者众多,不少休闲食品企业也大举加入坚果市场竞争,三只松鼠�����、良品铺子�����、百草味等品牌也纷纷推出每日坚果品类,沃隆�����的市场份额被蚕食�����,市占率正逐渐下滑�����。
数据显示,2019年,沃隆在混合坚果行业的市场份额达到13%,位居行业第一�����;到2021年,沃隆市占率仅为7.2%�����,已下滑至第三位。艾媒《2021年中国坚果零食品牌排行Top15》榜单中,沃隆排在百草味、三只松鼠�����、良品铺子�����、洽洽之后,居于第五位。
在业内看来,沃隆�����的产品体系结构单一,仅依靠每日坚果�����,存在爆品后续乏力�����的风险�����,沃隆需要逐步向多品类探索布局�����,搭建稳固的产品护城河。目前来看,新品依然围绕坚果及相关品类。
广科院旗下广科咨询首席策略师沈萌表示,许多消费者熟悉“每日坚果”却不了解沃隆,说明其品牌力还有待加强,无论是品类还�����是企业品牌,都需要凸显与其他竞品�����的差异性。沃隆的业务结构风险来自于,单一业务占比过大的同时差异化竞争优势不明显�����,这可能导致因为竞争压力出现业绩大幅波动。沃隆急需打造品牌差异化,提高竞争力�����。
就上述问题及后续发展�����,北京商报记者向沃隆官网邮箱发邮件联系采访,截至发稿未收到回复�����。
(文图�����:赵筱尘 巫邓炎)
[责编:天天中]
微信好友 
朋友圈 
)
大星彩票地图