【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
更好统筹质的有效提升和量的合理增长******
作者:权衡(上海社会科学院党委书记、上海市习近平新时代中国特色社会主义思想研究中心特聘研究员)
发展是党执政兴国的第一要务,发展必须是高质量发展。质的有效提升和量的合理增长是经济合理运行和发展的规律性体现,是实现高质量发展的内在要求,有利于探索和形成经济增长的新源泉新动力。需更加注重长短政策优化组合,更好统筹经济质的有效提升和量的合理增长,推动高质量发展取得新成效。
中央经济工作会议强调,“坚持发展是党执政兴国的第一要务,发展必须是高质量发展”“要更好统筹经济质的有效提升和量的合理增长,坚持以质取胜,以量变的积累实现质变”。实现质的有效提升和量的合理增长,对做好2023年经济工作,着力推动高质量发展具有重大理论和现实意义。
内在逻辑和现实要求
科学把握经济运行过程中质的有效提升和量的合理增长,既有利于准确理解“高质量发展是全面建设社会主义现代化国家的首要任务”,也对推动经济运行实现整体好转至关重要。
质的有效提升和量的合理增长是经济合理运行和发展的规律性体现。经济的运行和发展是总量增长和效益提升的辩证统一的变化过程。经济发展既有生产要素投入和产出的增长变化,如表现在总量、规模、速度等具体指标上,同时往往也必然伴随着经济结构、产业结构、就业结构和收入结构等方面的深刻变化。尤其是受技术革命等因素的影响,经济运行内在的投入产出结构以及效率、质量和效益也会发生相应的变化。因此,量的积累是经济增长的基础和条件,质的提升则是经济增长的动力和目标,经济运行的质和量互为条件,相辅相成、相互作用。
质的有效提升和量的合理增长是实现高质量发展的内在要求。进入新发展阶段,要完整、准确、全面贯彻新发展理念,加快构建新发展格局,着力推动高质量发展。高质量发展是体现新发展理念的发展,要推动经济发展质量变革、效率变革、动力变革。保持经济运行在合理区间,既需要有质的有效提升,也需要有量的合理增长。从质的有效提升来说,意味着经济增长更加注重投入产出率、技术创新和进步以及产品质量、市场效益、资源配置效率、生态环保等方面的要求。从量的合理增长来说,需要在质的有效提升基础上有高效益、高质量的投入产出和较快的规模增长、速度增长,这样的增长也必然带来就业、收入方面的稳定增长。
质的有效提升和量的合理增长有利于探索和形成经济增长的新源泉新动力。现代经济增长理论研究表明,一国或者一个经济体的经济增长,其真正有效的源泉和动力,并不是来自于要素投入的数量和规模大小,而是主要来自于全要素生产率的提升,其中主要包括劳动生产率、技术进步效率和资源配置效率等。尤其是从经济长期增长的趋势来看,增长源泉和动力主要来自于全要素生产率。因此,推动经济高质量发展,就是要把长期经济增长的动力和来源主要放在依靠提升劳动生产率、技术进步效率、创新效率以及资源配置效率上,着力提高全要素生产率。这样既可以实现质的有效提升,又可以实现量的合理增长。
更加注重长短政策优化组合
中央经济工作会议强调,“突出做好稳增长、稳就业、稳物价工作,有效防范化解重大风险,推动经济运行整体好转,实现质的有效提升和量的合理增长,为全面建设社会主义现代化国家开好局起好步”。为此,需要从如下几方面入手,更加注重长短政策优化组合,更好统筹经济质的有效提升和量的合理增长,推动高质量发展取得新成效。
一是把稳增长的政策手段与实施创新驱动发展的各项政策有机结合起来,使短期内的增长过程更多孕育和形成长期的新动力和新动能。做好2023年经济工作,短期内需要稳增长,积极的财政政策要加力提效,通过优化组合赤字、专项债、贴息等工具积极促进经济增长。同时,政策手段要更加突出培育有利于长期增长的内生动力,更加注重推进科技创新,催生各种新业态、新经济和新模式,防止盲目投资和重复建设。要通过积极的财政政策和稳健的货币政策,加大宏观政策调控力度,加强各类政策协调配合,形成共促高质量发展的合力。
二是把实施扩大内需战略同深化供给侧结构性改革有机结合起来,实现供需匹配和动态均衡发展。做好2023年经济工作,要着力扩大国内需求,要把恢复和扩大消费摆在优先位置,充分发挥内需尤其是消费需求的作用,进一步增强消费能力,积极改善消费条件,创新各类消费场景,最大程度释放消费潜力和活力。同时,也要继续深化供给侧结构性改革,建设现代化产业体系,形成高质量的供给体系和供给能力,推动技术创新、供给创新、产业创新、产品创新,使供给侧更加灵活及时地适应需求侧的变化,有效发挥供给创造需求的重要作用,增强高质量发展的内生动力。
三是把引导实际经济增长的总量政策手段与提升潜在经济增长率的结构性政策工具有机结合起来,最大限度提升潜在经济增长率。由于各种不确定性因素冲击,短时期我国实际经济增长率往往会出现不可避免的波动和变化。因此,做好2023年的经济工作,短期内各种总量性政策着力点要放在如何更好引导和稳定实际经济增长率上来,防止经济运行出现波动带来的就业、物价等大幅度变化。同时,各种结构性政策也要更加关注和提升潜在经济增长率,尽可能确保实际经济增长与潜在经济运行轨迹保持基本一致。要尽可能实现资源最优配置和全要素生产率提升,最大限度激活和提高潜在经济增长率,推动实际经济增长既符合市场预期,也符合潜在经济增长率水平。这也是当前和今后一个时期保持经济运行在合理区间的重要选择。
四是把稳增长的一揽子经济政策与改善民生的社会政策体系有机结合起来,推动经济社会高质量发展。做好2023年经济工作,既要推动经济稳定增长,实现就业、收入和物价等基本稳定,同时也要发挥社会政策的兜底保障作用,把城乡协调发展与扩大内需有机结合起来,把城乡居民的就业保障与解决民生需求结合起来,不断增强人民群众的获得感、幸福感、安全感。
五是把稳增长与积极改善市场预期、提振市场信心有机结合起来,确保经济运行建立在理性的良性的心理预期上。稳定预期与稳定增长同等重要。目前,需求收缩、供给冲击、预期减弱三重压力仍然较大,预期减弱的压力影响也较为深刻,亟需有效的积极引导,及时消除各种疑虑,减少不确定性,增强可预期性及指导性。特别是要通过全面深化改革开放,以更加成熟定型的制度体系积极引导和稳定市场预期、提振市场信心,为实现质的有效提升和量的合理增长、确保经济运行在合理区间注入新的动力和活力。
(文图:赵筱尘 巫邓炎)