——穩如泰山·值得託付——
2020年7月16日,延期舉辦的央視3.15晚會曝光了App中集成的第三方SDK竊取用戶隱私數據的問題。據央視報道,上海市消費者權益保護委員會委託技術人員檢測了50多款手機軟件,發現含有上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家公司的SDK插件,都存在在用戶不知情的情況下,偷偷竊取用戶隱私的嫌疑。該事件涉及國美易卡、空調遙控器、最強手電、91極速購、天天回收、閃到、蘿蔔商城、紫金普惠等50多款手機軟件。
近年來,App個人信息違規採集問題頻現,企業往往將App個人信息安全問題聚焦在自身代碼的開發層面,很容易忽視App中集成的第三方SDK安全問題,殊不知正是這些提供便利的第三方SDK正在背後插刀。為此,各監管部門出臺了相應的法律法規指導,並開展了App專項治理行動。通過梆梆安全全球應用監管平臺監測發現第三方SDK存在安全風險,有竊取、濫用個人隱私數據的嫌疑。
01.盜版應用植入惡意SDK
早年間盜版應用通過竊取用戶賬號密碼從而造成用戶資金損失,而今,盜版應用已經將黑手伸向了竊取應用的隱私數據,或推送廣告。
02. 開發環節引入第三方惡意SDK
據梆梆安全全球應用監管平臺統計分析,目前幾乎所有App均不同程度集成了第三方SDK,平均每個App集成的第三方SDK在15個以上,而這些第三方SDK在集成環節大多未經查驗,很容易導致惡意代碼隨App發佈而最終運行在用戶手機上。
03.發佈後第三方SDK動態更新惡意代碼
部分SDK會採用Android操作系統的熱更新機制,在集成環節偽裝成正常SDK,逃避集成方的檢查,而在應用發佈後運行在用戶手機時,通過熱更新機制從SDK的服務端動態加載惡意代碼,竊取用戶的隱私數據。
梆梆安全一直非常重視個人隱私數據保護的工作,對於App中第三方SDK隱私數據竊取問題,形成了一套完整的隱私數據保護解決方案。
01
▼
第三方SDK “資產”普查
由於開發團隊人員眾多及歷史版本迭代多等原因,目前許多App開發者並不清楚自己的App中到底集成了多少第三方SDK。針對這種情況,梆梆安全可以為客戶提供SDK成分分析服務,幫助客戶快速梳理第三方SDK類型、名稱、代碼路徑等。
02
▼
App隱私數據採集檢測
從靜態和動態層面進行全方位檢測,全面排查App隱私數據採集行為,確保App在發佈前不存在已知的隱私數據採集超範圍問題。梆梆安全在App檢測方面通過應用安全檢測平臺及App動態檢測平臺能夠為客戶提供靜態代碼掃描及動態安全檢測,及時發現在集成環節出現的SDK越權及超範圍採集用戶隱私數據問題。
03
▼
發佈後SDK行為實時管控
由於Android熱更新機制在使用層面不存在好壞之分,部分第三方SDK由於版本更新頻繁,或存在一些後門開關,在集成環節並不觸發惡意代碼的下發,而是在用戶安裝在手機中之後悄悄進行熱更新,在熱更新過程中植入惡意代碼。
針對應用發佈後的SDK行為,基於多年的App安全監測能力,梆梆安全通過移動威脅感知平臺為客戶提供第三方SDK行為監控,幫助客戶及時發現第三方SDK熱更新、越權及超範圍隱私數據數據採集、數據外發等行為,為客戶提供SDK數據採集行為的實時管控和攔截,對於超範圍採集信息的SDK進行及時阻斷,防止用戶隱私數據的外洩。
04
▼
盜版/仿冒應用及時監測及下架
盜版/仿冒應用披著正常應用的外衣,實際使用過程中與正常應用幾乎一樣,最終用戶很難鑑別應用的真偽,對於一些未經授權集成第三方惡意SDK的盜版/仿冒應用,開發者需要採取相應的措施,及時發現並進行下架,以免造成用戶信息及資產的不明流失。
梆梆安全通過全球渠道監測平臺,幫助用戶7*24小時不間斷監控全球應用市場,及時發現盜版/仿冒應用,通知用戶並協助進行下架,降低盜版/仿冒應用帶來的不良影響和損失。
05
▼
持續的移動應用監管
隨著個人隱私數據治理及數據安全法的進一步落地執行,App個人信息保護問題的關注度會越來越高,監管逐漸趨於常態化、強監管,媒體的監督與導向作用也會不斷推動App個人信息保護的規範化。
梆梆安全移動應用監管平臺,能夠幫助監管及企業客戶及時掌握App資產的整體清單,同時進行病毒木馬、個人隱私採集、境外數據傳輸、盜版仿冒、內容違規等方面的安全檢測,幫助監管機構和企業客戶進行處置。
早在2017年,梆梆安全就開始進行App的個人隱私數據治理研究,在移動安全整體解決方案中,已經形成了端到端閉環的解決方案,從移動App安全、數據保護、隱私合規等多方面為客戶提供一站式解決方案,覆蓋App的設計、開發、檢測、發佈、運營等環節,真正為客戶提供App全生命週期安全解決方案。梆梆安全將始終致力於保護App的用戶隱私數據安全,協助企業、監管機構解決App安全及合規問題。
我就知道你“在看”
轉載請超鏈接註明:頭條資訊 » 315曝光手機App內嵌SDK竊取用戶隱私 你的App安全嗎?
免責聲明 :非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件24小時內刪除。