【动画】@App开发者们,你想了解的SDK安全风险都在这�����!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今�����,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK�����的APP�����的安全性�����,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取�����、上报和展示目标App提供者设定�����的目标不同�����,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录�����、短信息等个人敏感信息,隐蔽进行拍照�����、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面�����,安天移动安全发现,应用接入第三方SDK引发�����的违规收集个人信息问题较为普遍�����。其中�����,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况�����、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外�����,当前 App 接入�����的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现�����,其主要提供用户行为统计功能�����,并在此过程中实现用户终端数据�����的收集和上传�����。
由于该SDK 在不同App中存在模块代码和版本�����的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析�����,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息�����的问题,并且在月活较低�����的 App 接入�����的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据�����的访问。
以某知名地图 App为例�����,在相关检测中发现�����,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传�����的数据中除了包含 WiFi �����的BSSID名称信息外�����,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下�����,应用收集个人信息范围的最小化原则�����。而在应用接入的 SDK 中�����,收集个人信息范围�����、频度的必要性和最小化原则同样适用于SDK的功能业务场景�����。
虽然部分应用接入 SDK 时明示了 SDK 所收集�����的个人信息范围,但其合理性和必要性存疑�����,例如收集个人信息范围为软件安装列表�����,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等�����,这就涉及超范围收集个人信息。
例如�����,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听�����、对用户终端安装、卸载应用行为进行监听�����,除此以外�����,还会监听应用前台�����、后台�����的切换行为从而触发数据的收集和上传�����。
另外�����,当前 App 接入的 SDK 中还存在云端控制SDK行为�����,热更新技术控制 SDK 行为,后台拉活、自动下载安装�����、误触下载等风险行为。
(监制�����:张宁 策划:李政葳 制作�����:黎梦竹)
@劳动者 岁末年初求职换岗须慧眼辨“坑”******
@劳动者 求职换岗须慧眼辨“坑”
岁末年初,不少劳动者开始谋划新一年�����的工作�����,互联网招聘网站浏览量也开始增多�����。“保障就业”“高薪就业”�����的承诺可信吗�����?“工资没发,先交了一堆‘工杂费’”这事儿靠谱吗�����?招聘广告上�����的工资数额与实发工资不一样怎么办?近日,北京市第二中级人民法院发布典型案例,提醒劳动者求职应聘时�����,小心入坑。
岗前培训变成“培训贷”
徐某利用其经营�����的某软件公司�����、某信息公司�����,虚构招聘员工事实�����,在多个互联网招聘网站上发布招聘信息�����,主动邀请求职者进行面试,并虚假承诺高薪�����,后提出需要岗前培训�����,诱骗求职者签署培训协议,收取培训费用�����。徐某以保障就业为诱饵�����,使用签订培训及安置上岗协议�����的手段�����,诱骗应聘者贷款参加其公司的有偿培训,骗取应聘者贷款共600余万元。徐某因犯合同诈骗罪�����,被法院判处有期徒刑12年。
实践中,个别不法分子通过公司化运作�����、采用“招转培”模式等虚构招聘事实�����,诱骗劳动者贷款参加所谓�����的培训�����,骗取求职者缴纳手续费�����、培训费、违约金等费用。法官提醒�����,劳动者应理性对待用人单位招聘过程中的承诺�����,慎重对待各类“培训贷”�����。在发现被骗后�����,应第一时间报警,通过法律途径维护自身合法权益�����。
未上岗先交钱
2019年5月至7月间�����,邱某伙同刘某�����、张某等人,在北京市丰台区某大厦租用办公室,通过招聘网站以“某某集团”名义发布虚假招聘信息,诱骗应聘者来公司面试、签订试用期劳动合同,通过设置考试�����、考核等环节“刷人”,以收取被害人培训费、服装费�����、门禁卡费、违约金、烟钱等理由骗取应聘者钱财涉案金额8万余元�����。邱某等人以非法占有为目�����的,以虚假招工�����的方式�����,多次骗取他人财物�����,数额巨大�����,已构成诈骗罪,最后被法院以诈骗罪判处二年有期徒刑,并处罚金。
劳动合同法第九条规定�����,用人单位招用劳动者�����,不得扣押劳动者�����的居民身份证和其他证件,不得要求劳动者提供担保或者以其他名义向劳动者收取财物。第八十四条规定�����,用人单位违反本法规定,以担保或者其他名义向劳动者收取财物�����的,由劳动行政部门责令限期退还劳动者本人�����,并以每人500元以上2000元以下的标准处以罚款;给劳动者造成损害�����的�����,应当承担赔偿责任�����。
实践中�����,一些用人单位以各种名义向劳动者收取一定数额的钱款或财物�����,损害劳动者�����的合法权益。法官提示�����,劳动者需擦亮双眼�����,对用人单位巧立名目收取费用的行为勇敢说“不”�����,并可向人社部门投诉。遇不法分子以非法占有为目�����的、通过虚假招工方式骗取财物的,应及时向公安机关举报。
招聘广告不等于劳动合同
杨某自2019年9月2日入职某石化公司工作,其间某石化公司未为杨某缴纳社会保险。2020年3月11日�����,杨某以某石化公司未缴纳社会保险�����、未及时足额支付劳动报酬为由提出辞职�����。杨某申请劳动仲裁,要求某石化公司支付劳动报酬差额37800.95元、解除劳动合同应支付�����的经济补偿金10400.47元等�����。劳动仲裁部分支持其诉求后,杨某不服起诉到法院�����。
双方争议焦点为杨某的月工资收入�����。某石化公司提交2019年9月2日的劳动合同一份,其上约定月工资为3500元,杨某对该劳动合同�����的真实性不认可,主张其月工资为8500元�����,并提交招工简章原件及网站截图予以证实�����。某石化公司对上述证据的真实性不认可,认为无用人单位公章及相关负责人的签字,系单方证据,薪资待遇应按双方劳动合同的约定�����。
法院经审理认为�����,涉案劳动合同加盖某石化公司的公章,并有杨某的签字手印。经法院释明,杨某不申请笔迹鉴定,也未就该合同存在欺诈提供证据予以证实�����。用人单位�����的招聘广告在法律上只�����是一种要约邀请�����,并不具有劳动合同�����的法律效力�����,故杨某主张以月工资8500元的标准计算工资差额及经济补偿金,法院不予支持。法院最终按照3500元的标准判决某石化公司支付杨某解除劳动合同经济补偿。
民法典第四百七十三条规定,要约邀请是希望他人向自己发出要约的意思表示。拍卖公告、招标公告�����、招股说明书、债券募集办法�����、基金募集说明书、商业广告和宣传�����、寄送�����的价目表等为要约邀请�����。商业广告和宣传等为要约邀请。如其内容符合要约条件的�����,可以构成要约。
法官介绍,劳动者若要用人单位兑现招聘广告中的承诺�����,应该要求用人单位将招聘广告中�����的内容写入劳动合同中,以便维权时提供相应依据�����。在劳动合同履行过程中�����,劳动者应关注薪酬发放、社保缴纳等涉及自身重大利益的事项,�����是否与用人单位最初承诺一致�����,如不一致应及时与用人单位交涉,并注意保存相关证据�����,通过法律手段及时维权�����。
周倩
(文图:赵筱尘 巫邓炎)
[责编:天天中]
微信好友 
朋友圈 
)
彩神ap地图