【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
军事科学院徐馥芳:要有勇闯科技“无人区”的胆识******
光量子干涉实物图。图片来自新华社
党的二十大报告在总结十年来的重大科技创新成果时,再一次提到了量子信息。近年来,“墨子号”“九章”“祖冲之号”等一批量子信息领域的成果集中涌现,我国量子科技实现从跟跑、并跑,到部分领跑的重大历史性飞跃,量子科技发展的体系化能力正在稳步建立。
量子力学自1900年诞生以来,打开了人类认识世界的一扇新的大门。第一次量子革命,量子力学催生了晶体管、激光等重大发明。近年来,以量子计算和量子通信为代表的第二次量子革命兴起,极大地影响和改变着人类的生活。
本期科技访谈录,我们邀请到军事科学院量子技术方向学科带头人、国防科技创新研究院前沿交叉技术研究中心副研究员徐馥芳,请他谈一谈神奇的量子世界,展望量子科技发展的宏阔未来。
量子之美,美在未知
记者:习主席在党的二十大报告中,把量子信息列入新时代十年重大科技创新成果之一。量子信息是什么?它和我们经常提及的量子科技有什么关系?如今我国在量子信息领域都取得了哪些重要成就?
徐馥芳:量子信息是量子物理学和信息科学交叉催生的技术领域。它利用微观体系的量子效应,实现信息的高灵敏感知、安全传输和高速处理。量子信息主要包括量子通信、量子计算和量子精密测量等3个典型技术分支。
量子科技是一个更宏观的概念。它指的是量子力学建立后催生和发展起来的一系列科学与技术。随着量子信息技术的发展,量子科技发展进入新阶段,第二次量子革命兴起。这是一次巨大的飞跃,直接或间接改变和提升着人类获取、传输和处理信息的方式和能力。
近年来,我国在量子信息领域取得了很多重大成果。在量子通信领域,我国实现了光纤量子保密通信应用演示与验证的“京沪干线”,成功发射了“墨子号”量子卫星;在量子计算领域,我国实现了“九章”光量子计算原型芯片和“祖冲之号”超导量子技术原型系统;在量子探测领域,我国多个单位研制的冷原子干涉重力测量样机在国际重力比对试验中都取得了优秀成绩,针对水下目标探测的量子磁力探测样机已经针对典型场景开展了测试,等等。
记者:我们知道,量子力学是描述微观物理世界的理论。在您的眼里,又或者说在您的想象里,量子世界有多美?
徐馥芳:量子世界之美,在于它的神秘与未知。在量子的概念提出之前,我们对微观世界的认识,往往基于对宏观世界的理解之上。受到物理学自身限制,我们无法直接观测微观世界,甚至借助光学、电子学显微镜等也只能观测到皮毛。如今,了解过量子测量的我们都知道,量子测量会对被测量子系统产生影响;处于相同状态的量子系统被测量后可能得到不同的结果。这种因果颠倒的试验结果听来近乎玄幻,也是诸多科学家无法用经典物理学理论解释黑体辐射实验的原因。
在量子世界,很多经典物理学中不存在的物理状态变得可能。量子力学直接颠覆了我们对整个世界的认知。一个全新的世界在我们面前徐徐打开,太多的未知等待着我们去探索。这怎能不令人欣喜?
如今,还有许多物理现象难以被我们理解,比如量子隧穿、电子自旋、电子轨道跃迁、单电子自身干涉、测量导致的坍缩、共轭物理量无法同时精确测量(海森堡测不准原理),等等。这些都是量子世界里的一扇扇神秘的“大门”,一旦打开走进去,里面可能是一个更加幽远深邃的“洞天”。
但是,量子世界的神秘,或者说对量子世界的疑惑,并不足以使我们怀疑量子力学。量子力学的一部分已经得到实验验证,基于量子力学发展起来的科学与技术,已经极大地改变了我们的社会,并将继续服务于人类社会生活。
量子概念图。资料图片
对未来世界的影响,将远超你的想象
记者:有句俗话说,“遇事不决,量子力学”。量子似乎已经走进了人们的日常生活,又似乎还很遥远。您怎么看?
徐馥芳:很多时候,我们会觉得量子力学离我们很远。这一略带神秘、略显高深的学科,告诉我们微观世界中存在一些超导、超流、纠缠等神奇的量子效应,一般人很难理解。虽然一直都在说量子科技正在走进我们的生活,但是这一过程,往往以基础科学的形式在起作用。量子力学指导和推动了电子技术和信息技术的发展,但是我们的科学家、工程师和用户并不一定需要对量子力学懂太多。传统的学科还在将技术进一步推向前沿,仍有在不引入量子力学的情况下的进步空间。或者更直白地说,期望改变世界的量子信息技术,目前许多还停留在实验室阶段或者初步应用阶段,有待进一步突破。
另一方面,量子力学其实离我们又很近。我们周围的物质,包括我们的身体和大脑都是由原子分子构成的,它们在微观上遵守的是量子力学的规则。我们享受的现代科技产品,手机、电脑等都是量子力学指导的产物。近年来,随着量子信息技术的快速发展,量子通信、量子计算、量子精密测量领域都取得了一些重大进展,相关的科技产品正在加速走进我们的生活。
当然,我们更需清醒地看到,量子技术在向世界展现出其强大能力和发展潜力的同时,也面临巨大挑战。这其中,不仅有来自对量子态的长时间维持和精确调控等人类改造世界能力的挑战,更牵扯到物理学基础理论等人类认识世界能力的挑战。也许,还需经过漫长的时间,有新材料、新机理等特殊契机出现后,量子技术才能真正向世界显示其威力。
记者:请您设想一下,量子信息技术会给我们的未来生活带来怎样的改变?
徐馥芳:量子信息技术对未来世界的影响,将远超你的想象。在量子信息技术的3个分支中,量子精密测量和量子通信发展得相对成熟,已经从实验室“飞入寻常百姓家”。而难度最大的量子计算,发展仍处于早期阶段,距离商用普及仍有较长距离。我们乐观估计,还要20年以上的时间才能实现。
量子计算是量子信息技术中最综合的一个技术分支,也是对信息技术冲击最大的一个分支。从算盘时代发展到冯·诺依曼架构的电子计算机时代,人类社会发生了翻天覆地的变化。从经典计算机到量子计算机,“量子比特”取代了经典的“比特”,量子计算机在理论上具有秒杀所有传统计算机的计算能力。可以想象,一旦通用量子计算机发展起来,人类社会又将再次经历巨大变化。网络信息安全、大数据和人工智能、化学生物制药、金融工程、智能制造等领域都将因为量子计算机的巨大信息处理能力,发生颠覆性改变。
有没有勇闯科技“无人区”的胆识,决定了我们未来能走多远
记者:在钻研量子技术的道路上,您遇到最艰难的挑战是什么?
徐馥芳:从我的经历来看,最艰难的往往是起步阶段。我们这个团队是伴随着2017年新军事科学院调整组建而成立的一个研究团队,刚刚成立时,团队只有几个人,来自全军不同的单位。我还清楚记得,大家刚来到单位的时候,办公场地都是临时借用的,第一份项目申报书,是在临时租借的宿舍中完成的。但大家都没有被这些现实困难吓倒,科研经费有限,就省吃俭用买设备买器件;团队人才短缺,就想方设法引进、培养青年人才……几年时间过来了,我们的团队已经相对稳定成熟,科研条件有了很大改善,也取得了不少研究成果。
回顾这段从零起步的创业历程,我最大感触是,我们这一代科研人员赶上了一个好时代。在国家高度重视科技创新的大背景下,在党中央和中央军委的相关政策扶持下,在军事科学院良好的科研氛围下,我们团队可以瞄准一个目标,心无旁骛地共同努力。在这种环境下,拼搏也成为内在的自发本能。
记者:您认为,研究量子技术和其他科学技术有什么不同?研究量子技术需要怎样的科学精神?
徐馥芳:由于量子物理的概念与宏观世界完全不同,从事量子技术研究需要经过科学的系统训练,接受其独特的逻辑和技术方法。量子力学是一门完备的、严谨的科学。没经过系统训练,利用学习到的部分量子概念,结合自己的现实经验看待或处理问题,很容易走入歧路,产生错误观点。
现在社会上对量子技术存在着两种极端理解:一种是认为量子技术是骗子技术,所有的都是假的,不认可量子力学的正确性,或者认可量子力学但不认可量子技术;另一种认为量子技术是万能的,会彻底颠覆现在的电子技术和信息技术。这两种理解毫无疑问都是错误的。量子力学是一门基础学科,我们需要理性认识基于量子力学发展起来的量子技术,尤其是方兴未艾的量子信息学。它是一门全新的交叉学科,它的发展将成为我们传统信息技术的有力补充,并成为信息技术深化发展的基础。
从我长期从事量子技术的经历来看,我认为,研究量子技术,一是需要科学严谨的态度,能够严格依据量子理论进行推理和验证,进行试验设计和现象解释;二是需要前瞻的洞察力,量子世界的现象和规律与我们熟悉的经验世界完全不同,对研究中碰到的问题,必须敢于大胆假设,勇于创新,小心求证;三是需要持之以恒的韧劲,在研究量子信息技术时,科学难题和工程技术难题同在,很多时候在短期内都难以出重大应用成果。中国古人常讲“十年磨一剑”,但在这个领域,有可能十年都难磨一剑,所以必须沉下心来埋头苦干。
在科学研究上,有时看似下的是慢功夫,实则走的是快车道。量子技术是一门非常前沿且深奥的学科,目前虽然已经有了一些研究成果,但还有更多的“无人区”等着我们去探索。当我们与世界同行站在同一起跑线上,有没有勇闯科技“无人区”的胆识,决定了我们未来能走多远。
文字整理:张志华
(文图:赵筱尘 巫邓炎)