——稳如泰山·值得托付——
2020年7月16日,延期举办的央视3.15晚会曝光了App中集成的第三方SDK窃取用户隐私数据的问题。据央视报道,上海市消费者权益保护委员会委托技术人员检测了50多款手机软件,发现含有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件,都存在在用户不知情的情况下,偷偷窃取用户隐私的嫌疑。该事件涉及国美易卡、空调遥控器、最强手电、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件。
近年来,App个人信息违规采集问题频现,企业往往将App个人信息安全问题聚焦在自身代码的开发层面,很容易忽视App中集成的第三方SDK安全问题,殊不知正是这些提供便利的第三方SDK正在背后插刀。为此,各监管部门出台了相应的法律法规指导,并开展了App专项治理行动。通过梆梆安全全球应用监管平台监测发现第三方SDK存在安全风险,有窃取、滥用个人隐私数据的嫌疑。
01.盗版应用植入恶意SDK
早年间盗版应用通过窃取用户账号密码从而造成用户资金损失,而今,盗版应用已经将黑手伸向了窃取应用的隐私数据,或推送广告。
02. 开发环节引入第三方恶意SDK
据梆梆安全全球应用监管平台统计分析,目前几乎所有App均不同程度集成了第三方SDK,平均每个App集成的第三方SDK在15个以上,而这些第三方SDK在集成环节大多未经查验,很容易导致恶意代码随App发布而最终运行在用户手机上。
03.发布后第三方SDK动态更新恶意代码
部分SDK会采用Android操作系统的热更新机制,在集成环节伪装成正常SDK,逃避集成方的检查,而在应用发布后运行在用户手机时,通过热更新机制从SDK的服务端动态加载恶意代码,窃取用户的隐私数据。
梆梆安全一直非常重视个人隐私数据保护的工作,对于App中第三方SDK隐私数据窃取问题,形成了一套完整的隐私数据保护解决方案。
01
▼
第三方SDK “资产”普查
由于开发团队人员众多及历史版本迭代多等原因,目前许多App开发者并不清楚自己的App中到底集成了多少第三方SDK。针对这种情况,梆梆安全可以为客户提供SDK成分分析服务,帮助客户快速梳理第三方SDK类型、名称、代码路径等。
02
▼
App隐私数据采集检测
从静态和动态层面进行全方位检测,全面排查App隐私数据采集行为,确保App在发布前不存在已知的隐私数据采集超范围问题。梆梆安全在App检测方面通过应用安全检测平台及App动态检测平台能够为客户提供静态代码扫描及动态安全检测,及时发现在集成环节出现的SDK越权及超范围采集用户隐私数据问题。
03
▼
发布后SDK行为实时管控
由于Android热更新机制在使用层面不存在好坏之分,部分第三方SDK由于版本更新频繁,或存在一些后门开关,在集成环节并不触发恶意代码的下发,而是在用户安装在手机中之后悄悄进行热更新,在热更新过程中植入恶意代码。
针对应用发布后的SDK行为,基于多年的App安全监测能力,梆梆安全通过移动威胁感知平台为客户提供第三方SDK行为监控,帮助客户及时发现第三方SDK热更新、越权及超范围隐私数据数据采集、数据外发等行为,为客户提供SDK数据采集行为的实时管控和拦截,对于超范围采集信息的SDK进行及时阻断,防止用户隐私数据的外泄。
04
▼
盗版/仿冒应用及时监测及下架
盗版/仿冒应用披着正常应用的外衣,实际使用过程中与正常应用几乎一样,最终用户很难鉴别应用的真伪,对于一些未经授权集成第三方恶意SDK的盗版/仿冒应用,开发者需要采取相应的措施,及时发现并进行下架,以免造成用户信息及资产的不明流失。
梆梆安全通过全球渠道监测平台,帮助用户7*24小时不间断监控全球应用市场,及时发现盗版/仿冒应用,通知用户并协助进行下架,降低盗版/仿冒应用带来的不良影响和损失。
05
▼
持续的移动应用监管
随着个人隐私数据治理及数据安全法的进一步落地执行,App个人信息保护问题的关注度会越来越高,监管逐渐趋于常态化、强监管,媒体的监督与导向作用也会不断推动App个人信息保护的规范化。
梆梆安全移动应用监管平台,能够帮助监管及企业客户及时掌握App资产的整体清单,同时进行病毒木马、个人隐私采集、境外数据传输、盗版仿冒、内容违规等方面的安全检测,帮助监管机构和企业客户进行处置。
早在2017年,梆梆安全就开始进行App的个人隐私数据治理研究,在移动安全整体解决方案中,已经形成了端到端闭环的解决方案,从移动App安全、数据保护、隐私合规等多方面为客户提供一站式解决方案,覆盖App的设计、开发、检测、发布、运营等环节,真正为客户提供App全生命周期安全解决方案。梆梆安全将始终致力于保护App的用户隐私数据安全,协助企业、监管机构解决App安全及合规问题。
我就知道你“在看”
转载请超链接注明:头条资讯 » 315曝光手机App内嵌SDK窃取用户隐私 你的App安全吗?
免责声明 :非本网注明原创的信息,皆为程序自动获取互联网,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责;如此页面有侵犯到您的权益,请给站长发送邮件,并提供相关证明(版权证明、身份证正反面、侵权链接),站长将在收到邮件24小时内删除。