近年來(lái)��,隨著移動(dòng)互聯(lián)產(chǎn)業(yè)的興起��,移動(dòng)應(yīng)用軟件(Application��,App)逐漸滲透到社會(huì)生活的各個(gè)領(lǐng)域���,為大眾提供精細(xì)化場(chǎng)景化服務(wù)���。在面向細(xì)分領(lǐng)域發(fā)展的同時(shí),App種類和數(shù)量呈爆發(fā)式增長(zhǎng)��,軟件開(kāi)發(fā)工具包(Software Development Kit �,SDK)被廣泛集成、應(yīng)用�����,為日益豐富的App功能、服務(wù)提供了技術(shù)上的解決方案�。
數(shù)字經(jīng)濟(jì)時(shí)代下,移動(dòng)應(yīng)用場(chǎng)景迅速擴(kuò)展�,SDK逐步成為移動(dòng)業(yè)務(wù)價(jià)值拓展的重要組成部分。然而�����,由于SDK具有泛用性��、靈活性等特點(diǎn)��,一旦出現(xiàn)安全問(wèn)題��,不僅自身業(yè)務(wù)受到直接影響��,也會(huì)威脅到集成SDK的App業(yè)務(wù)安全和數(shù)據(jù)安全����,嚴(yán)重的情況下甚至可能影響移動(dòng)應(yīng)用系統(tǒng)生態(tài)安全���。
隨著安全形勢(shì)不斷變化��,SDK的安全合規(guī)問(wèn)題已經(jīng)進(jìn)入各方視野�,SDK可能存在的安全漏洞、惡意行為�����,以及隱藏在App背后不透明地收集使用個(gè)人信息等問(wèn)題逐漸成為各方關(guān)注的焦點(diǎn)問(wèn)題�。
報(bào)告從場(chǎng)景分析、數(shù)據(jù)統(tǒng)計(jì)�、政策標(biāo)準(zhǔn)方面分享了SDK行業(yè)發(fā)展現(xiàn)狀,對(duì)SDK行業(yè)面臨的合規(guī)風(fēng)險(xiǎn)��、安全風(fēng)險(xiǎn)進(jìn)行了分析�,面向SDK及App開(kāi)發(fā)者提出了安全措施建議,并從實(shí)踐角度分享案例和經(jīng)驗(yàn)���,為促進(jìn)SDK行業(yè)生態(tài)的健康發(fā)展提供參考��。
SDK通常無(wú)法獨(dú)立展示前臺(tái)頁(yè)面�����,其告知行為往往需要借助宿主App傳達(dá)給用戶�����,但由于部分SDK未向App告知或完整告知自身所收集的個(gè)人信息����,或者SDK公開(kāi)了收集使用規(guī)則但App未向用戶明示等原因,使得用戶對(duì)SDK收集個(gè)人信息行為毫無(wú)感知�。還有部分SDK未經(jīng)用戶同意,私自調(diào)用權(quán)限隱蔽收集個(gè)人信息�����,私自通過(guò)自啟動(dòng)��、關(guān)聯(lián)啟動(dòng)等方式收集個(gè)人信息����。SDK未經(jīng)用戶同意收集個(gè)人信息,不僅增加了自身的違規(guī)風(fēng)險(xiǎn)���,也會(huì)為宿主App制定收集使用規(guī)則����,全面列舉收集使用的個(gè)人信息帶來(lái)障礙�。
SDK實(shí)際收集的用戶個(gè)人信息超出公開(kāi)文檔所聲明的系統(tǒng)權(quán)限和個(gè)人信息。此類行為主要表現(xiàn)為SDK收集與其所提供服務(wù)無(wú)關(guān)的個(gè)人信息���,強(qiáng)制申請(qǐng)非必要的權(quán)限����,私自調(diào)用權(quán)限隱蔽收集個(gè)人信息���,私自通過(guò)自啟動(dòng)�����、關(guān)聯(lián)啟動(dòng)等方式收集個(gè)人信息��,自動(dòng)收集個(gè)人信息的頻度和時(shí)機(jī)不合理等���。例如,部分SDK會(huì)收集非必要的設(shè)備信息�����、網(wǎng)絡(luò)環(huán)境信息���,讀取用戶設(shè)備已安裝應(yīng)用程序列表��,甚至超范圍收集用戶通訊錄����、通話記錄、地理位置等敏感個(gè)人信息����。
SDK幫助App開(kāi)發(fā)者實(shí)現(xiàn)登錄、支付��、推送�����、數(shù)據(jù)統(tǒng)計(jì)分析等業(yè)務(wù)功能�,存在未經(jīng)用戶授權(quán)使用個(gè)人信息的合規(guī)風(fēng)險(xiǎn)。一方面��,SDK收集的個(gè)人信息可能涉及個(gè)人身份���、財(cái)產(chǎn)等敏感信息����,還可以通過(guò)App權(quán)限情況獲得位置信息��、短信信息��、鑒權(quán)信息等,如果未經(jīng)用戶授權(quán)使用��,有可能嚴(yán)重?fù)p害用戶權(quán)益����。另一方面���,第三方SDK可能被各行業(yè)各類型的App集成��,從而匯集多款A(yù)pp用戶個(gè)人信息����,一旦相關(guān)信息被用于實(shí)施詐騙���、社會(huì)工程攻擊等違法行為����,其危害程度較單個(gè)App數(shù)據(jù)濫用事件更加嚴(yán)重����。
一方面,部分SDK存在明文傳輸用戶電話號(hào)碼�、設(shè)備MAC地址等個(gè)人信息���,或者私自向其他應(yīng)用或服務(wù)器發(fā)送、共享用戶個(gè)人信息的情況����,可能被宿主App或本地惡意程序截獲,導(dǎo)致用戶個(gè)人信息泄露�����。另一方面�,在未經(jīng)用戶同意的情況下,SDK有可能采取加密等方式私自傳輸收集的個(gè)人信息����,如果SDK收集使用個(gè)人信息行為及相關(guān)信息未完全向宿主App告知,會(huì)為宿主App帶來(lái)額外的合規(guī)風(fēng)險(xiǎn)����。
目前許多App與SDK通過(guò)開(kāi)放平臺(tái)在線簽署開(kāi)發(fā)者服務(wù)協(xié)議來(lái)約定權(quán)利義務(wù),然而開(kāi)發(fā)者服務(wù)協(xié)議通常缺少專門約束數(shù)據(jù)安全的規(guī)定��,同時(shí)App針對(duì)SDK收集個(gè)人信息行為進(jìn)行技術(shù)檢測(cè)存在一定難度����,使得App對(duì)嵌入的SDK收集使用個(gè)人信息情況難以完全掌控���,集成第三方SDK時(shí)容易引入個(gè)人信息合規(guī)風(fēng)險(xiǎn)。服務(wù)提供方應(yīng)如何合法�、合規(guī)地收集、保存���、使用個(gè)人信息,App如何對(duì)共享給SDK的個(gè)人信息�����、雙方權(quán)利義務(wù)及第三方SDK收集使用個(gè)人信息情況等加強(qiáng)管理監(jiān)督�����,正逐漸成為移動(dòng)應(yīng)用領(lǐng)域亟待解決的問(wèn)題���。
本文由培訓(xùn)無(wú)憂網(wǎng)長(zhǎng)沙牛耳教育課程顧問(wèn)老師整理發(fā)布���,希望能夠?qū)ο朐陂L(zhǎng)沙參加影視動(dòng)漫培訓(xùn)的學(xué)生有所幫助。更多課程信息可關(guān)注培訓(xùn)無(wú)憂網(wǎng)電腦IT培訓(xùn)頻道或添加老師微信:15033336050
注:尊重原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明出處和鏈接 http://elsolbar.com/news-id-13953.html 違者必究��!部分文章來(lái)源于網(wǎng)絡(luò)由培訓(xùn)無(wú)憂網(wǎng)編輯部人員整理發(fā)布,內(nèi)容真實(shí)性請(qǐng)自行核實(shí)或聯(lián)系我們�,了解更多相關(guān)資訊請(qǐng)關(guān)注程序開(kāi)發(fā)頻道查看更多����,了解相關(guān)專業(yè)課程信息您可在線咨詢也可免費(fèi)申請(qǐng)?jiān)囌n���。關(guān)注官方微信了解更多:150 3333 6050
