【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

最“狡猾”的毒株？XBB.1.5毒株或将横扫美国******

　　中新网1月4日电 近来，奥密克戎变异毒株的亚型XBB.1.5在美国等国家和地区的传播引发外界关注和担忧。该毒株是否会引发新一轮疫情浪潮，导致更严重疾病？疫苗对其还有用吗？人们应该如何进行防护？

资料图：美国纽约曼哈顿14街一处新冠病毒检测站为居民做检测。中新社记者 廖攀 摄

　　XBB.1.5毒株将“横扫”美国？

　　XBB为新冠病毒奥密克戎BA.2衍生的2个变异株BJ.1和BM.1.1.1的重组毒株。XBB.1.5是XBB衍生的子分支。

　　英国《独立报》援引全球流感共享数据库(GISAID)的统计数据显示，已有至少74个国家和地区发现XBB.1.5，包括美国、英国、印度、巴基斯坦等。其中，美国有43个州检测到该毒株。

　　美国有线电视新闻网(CNN)称，2022年秋天，XBB曾在新加坡掀起了一波疫情浪潮。而今，XBB.1.5可能正在美国推动新一波的疫情浪潮。

　　美国疾病控制和预防中心(CDC)预计，与其它毒株相比，XBB.1.5每周的新冠病毒感染占比大幅增加，其中2022年12月的新感染病例占比从约4%升至41%。CDC还预计，在该国东北部，XBB.1.5导致了约75%的新病例。

　　华盛顿大学医学院病毒学实验室的新冠病毒测序主任罗伊乔杜里(Pavitra Roychoudhury)说：“几个月来，我们还没有看见过以这种速度传播的变体。”

　　西雅图福瑞德·哈金森癌症研究中心的计算生物学教授贝德福德(Trevor Bedford)也表示，“预计它会在未来几周推动传播增长。”

　　他指出，这种增长可能不会反映在病例数上，因为越来越多的人选择在家中进行检测。“因此，我希望将弱势年龄组(如老年人)的住院情况视为更合适的(疫情)浪潮指标。”

资料图：图为伦敦一美食街上，民众户外就餐。中新社发 张梦琪 摄

　　两大特性或助推XBB.1.5传播

　　美国有线电视新闻网(CNN)指出，XBB.1.5之所以可能会推动新的疫情传播，与其两大特性有关。

　　一是其极为“狡猾”的免疫逃逸能力。

　　哥伦比亚大学微生物学和免疫学教授何大一最近在实验室进行了病毒测试，这些病毒被设计成具有XBB和XBB.1以及BQ.1和BQ 1.1的尖峰，以对抗不同类型的受试者血液中的抗体，包括感染病毒的群体，接种了原始株和二价疫苗的群体，以及既感染病毒又接种疫苗的群体。其团队还测试了23种针对这些新亚系的单克隆抗体疗法。

　　研究发现，XBB.1是其中“最狡猾的”。它被感染者和接种疫苗者血液中的抗体中和的可能性比BA.2低63倍，比BA.4和BA.5低49倍。此外，就免疫逃逸性而言，这些变体已“远离”人类制造的用于对抗它们的抗体。

　　何大一称，其免疫逃逸水平“令人担忧”，并表示这可能会进一步损害新冠疫苗的功效。XBB.1.5 在抗体逃逸方面与 XBB.1 相同，这意味着它有可能逃脱疫苗接种和过去感染所带来的保护。它还能抵抗所有当前的抗体治疗。

　　除高度免疫逃逸能力外，XBB.1.5另一可能有助于传播的“技能”在于——该毒株在486位点有一个关键突变，这使得它可以更紧密地与 ACE2 结合。ACE2相当于病毒用来进入人体细胞的“大门”。

　　弗雷德哈钦森癌症中心的计算病毒学家杰西布鲁姆(Jesse Bloom)表示，“这种突变显然让XBB.1.5更好地传播。”

　　不过，专家们也表示，现在很难知道XBB.1.5的增长在多大程度上可归因于病毒的特性或者传播时机。比如，假期期间，人们很可能会进行社交和旅行，而这给任何感染——无论是流感、新冠病毒还是呼吸道合胞病毒——带去更大的蔓延空间。

资料图：旅客抵达美国加州旧金山国际机场的国际航班到达区域。 中新社记者 刘关关 摄

　　XBB.1.5会导致更严重疾病吗？

　　值得注意的是，多数专家预计，XBB.1.5有可能导致更多感染，但他们并不认为这些感染一定会更严重。

　　负责明尼苏达大学传染病研究和政策中心的奥斯特霍尔姆(Michael Osterholm)指出，更新版加强针应该能够提供一些保护，甚至可以抵抗XBB.1.5这种具有高度免疫逃避能力的毒株。

　　“他们仍然能提供一定程度的免疫力，可能无法阻止你被感染，但可能对你是否患重病和死亡产生重大影响。”他说，“我们掌握的最新数据显示，对于那些接种了二价疫苗的人来说，他们的死亡风险比那些没有接种的人低三倍。”

　　CNN指出，快速检测、佩戴口罩、做好室内空气的通风和过滤等等也将继续发挥作用，因此，即使病毒继续进化，人们仍然有很好的方法来保护自己免受感染。

　　“它似乎没有引起任何更严重的疾病，所以我认为今天流行的情况与一年前截然不同。”奥斯特霍尔姆说。

查看原地址 中文EnglishFrançaisDeutsch日本語 Русский языкEspañolعربي한국어 站内导航 推荐国际直播图片财经中国3分钟 军事观点政协科技教育一带一路网 文化旅游艺术地产乡村振兴Hi 中国人 世相帧像双创汽车文创中国范儿 搜索 触屏版 | PC版 ©中国网 中国网客户端 国家重点新闻网站，9语种权威发布 立即下载 吉好彩票地图