【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
齐河县搭建“四大平台”推动党员教育提质增效******
作者:曹志亮、王慧敏(中共齐河县委组织部)
近年来,齐河县坚持把加强党员教育作为党的建设的基础性工作,以加强阵地、课程、师资、宣教四大平台建设为抓手,着力构建体系健全、富有特色、学用一体的教育机制,持续推进党员教育提质增效。
一、加强“阵地平台”建设,搭建多元培训载体。持续挖掘红色教育资源,倾力打造党员教育阵地平台。一是高标准建设齐河县委党校新校区。按照“超前谋划、着眼未来、科学实用、务求实效”的理念进行规划建设,党校新校区占地52亩,建筑面积2万平米,设置办公楼、教学楼、学员公寓楼、餐厅楼四个主要功能区,图书室、阅览室、党建书吧、党建活动室、健身房、职工活动室、档案室等功能室一应俱全,能满足1600人同时培训、500人同时食宿。二是规范乡镇(街道)党校建设。先后出台《齐河县乡镇(街道)党校管理办法》《关于开展乡镇(街道)党校(党员教育中心)“擂台比武”暨评选县级规范化党校活动的实施方案》等,扎实推进乡镇(街道)党校实体化、规范化建设。加强硬件设施建设,按照“五室八有五上墙”的标准,规范乡镇(街道)党校教学场所。完善机构设置,为每个乡镇(街道)党校落实2个事业编,同时,将所需经费列入同级财政预算,县管党费给予一定资金支持。整合优势资源,每个乡镇(街道)党校打造了3处以上现场教学基地,并配备讲解员。三是打造红色教育矩阵。以“担当”为主题,以情景体验为主要表现形式,打造齐河党员教育体验基地,运行以来先后接待参训人员3000余批次、13万余人次,成为山东省委党校在德州市设立的第一家现场教学基地。依托鲁北第一个农村党支部“后里仁庄党支部”,建设党史学习教育基地,形象真实地展示齐河地方党组织发展的全过程,启用以来接待参训党员干部300余批次、9000余人次。同时,对全县各类红色资源进行整合,把革命烈士纪念馆、国防教育基地等分散的红色场所串联起来,每个点提炼一个主题,打造具有齐河特色的“红色教育矩阵”。
二、加强“课程平台”建设,提供丰富教学内容。坚持“围绕党的建设需要、围绕经济社会发展需要、围绕党员干部个人需要”设置课程,致力于提升党员干部的理论素养和能力水平。一是抓好理论教育和党性教育课程。坚持习近平新时代中国特色社会主义思想的统领地位,主体班次中理论和党性教育的比例占总课时70%以上。开展形式多样的党性教育活动,举办“红色教育进社区”“红色文化进校园”活动,把红色教育送到党员群众身边。举办“红齐”微党课大赛,推选优秀党课15部。二是抓好能力提升课程。每年开设全县中心工作解读课,讲解宣传全县的中心工作和县委县政府重大部署,解决工作思路问题。开设“提升执政能力”专题教学课程,包括提升科学决策能力、政治领导力、公共服务能力等讲题,共梳理能力提升方面的专题课30余个。三是抓好现场教学课程。开展现场教学调研活动,挖掘教学资源,提炼形成教学模块,目前已开发经济开发区跨越发展教学模块、乡村振兴教学模块、红色齐河教学模块等7大模块、60个现场教学点。2022年以来,已开展了20余场现场教学,1200余名基层党员参加了现场培训。
三、加强“师资平台”建设,持续壮大师资队伍。狠抓师资队伍建设,探索建立“党校专职教师、本地兼职教师、外聘客座教师”三位一体的师资力量格局。一是强化县委党校教师队伍建设。实施“人才兴校”行动,每年通过招考为党校引进专业硕士以上人才1-2名,为党校增加9个编制,编制总数达到37人。实施“诵、读、讲”三位一体的教师素质提升工程,每季度开展一次“朗诵活动”,每周三、五下午为集体阅读日,每季度开展一次集中试讲活动。加大教师培训力度,组织教师到重庆、延安等地学习先进经验,到中央党校(国家行政学院)、山东省委党校进修学习,确保每人每年接受10天以上培训。二是拓展兼职师资队伍。整合全县资源,选聘政治素质过硬、理论水平较高、善于课堂讲授的党政领导干部、企事业单位领导人员、优秀农村党组织书记和先进典型人物,担任党校兼职教师,兼职教师人才库已达到300余人。同时,严格落实领导干部上讲台制度,县领导和各机关事业单位主要负责人,每人每年至少到党校主体班次讲1次课。三是挖掘上级和外地师资力量。用好省级“名师送教”师资库,对接德州市委党校专家库,今年以来,邀请省市有关单位领导专家30余人次来齐授课。扩大选人视野,开设“齐河大讲堂”,定位“前沿、实用、权威”,邀请中央部委、高等院校、科研院所等知名专家学者来齐河作专题报告,围绕新旧动能转换、舆情处置、政务服务等主题,邀请20余名专家进行授课。
四、加强“宣教平台”建设,大力提升培训实效。坚持把开展宣教工作作为党员教育重点工作,不断提升培训质量和覆盖面。一是抓好主体班次培训。坚持把主体班次教育作为基础性工作,不断探索主体班次提质增效措施。2022年以来,先后举办城市社区党组织书记培训班、全县科级干部进修班等班次15期,培训党员干部2000余人次,同时,积极承办省级培训班,先后承办全省乡村振兴专题示范培训班1期、全省2022年度村党组织书记示范培训班3期。二是持续办好“巡回党校”。为提升党员培训的覆盖面,创建了实体化运行的“巡回党校”,变“等学员上门学”为“走下去上门讲”,让全县基层党员就近接受党校培训。近年来,根据运行效果不断优化调整教学点,目前共设立了120处村级教学点和11处县直机关企事业单位教学点,2022年以来,开展培训130余场次,培训党员1万余人次。三是用好新媒体平台。积极整合各类媒体资源,先后开通齐河党建公众号、齐河党建视频号、红齐党建抖音号等新媒体平台,推出“红齐云课堂”党建宣传品牌,开设我来讲党课、党务知识我来讲、我与灯塔共成长、党的二十大每日一学小课堂、我的基地我来说等栏目,让党的声音传得更开、传得更广。
(文图:赵筱尘 巫邓炎)