首页 » 科技 » 正文 »

技术专家揭秘SDK乱象:超六成含有多种风险漏洞

2019-11-08 12:50:52 10:28 来源:互联网 
在2019年国家网络安全宣传周期间,爱加密高级技术专家程智力告诉光明网记者:“目前个人信息安全市场整体情况并不容乐观,app违规收集使用个人信息现象也很普遍。用户往往在不知情的情况下,不声不响地就被窃

[国家网络安全宣传周,工业之声]

Guangming.com记者李政委

只要拍摄正面人脸照片,就可以用电影电视作品或小视频中的人物来代替,生成以自己为主角的视频片段……近日,人工智能人脸改变软件“早”的一夜爆红引起了热烈的讨论。有趣的面孔背后,改变技术并不像人们想象的那么简单。一旦面部识别信息被滥用,后果将不堪设想。

在2019年国家网络安全宣传周期间,高级加密专家程知止对光明网表示:“目前个人信息安全市场的整体形势不容乐观,应用程序非法收集和使用个人信息的现象也非常普遍。用户经常不知不觉地悄悄窃取个人敏感信息,并被犯罪分子用来进行非法交易。”

给记者留下深刻印象的是,今年央视3.15晚会上发布的手机应用程序泄露了个人隐私。现场主机使用应用程序查询个人社会保障信息,网络安全专家通过抓取和分析数据包发现,在查询过程中,用户信息已经发送到一家大数据公司的服务器。

程知止表示,该应用的个人隐私安全问题主要集中在五个方面:第一,收集的实际个人信息与业务功能无关,例如,金融借贷应用收集用户通讯录等。;其次,没有公开收集和使用个人信息的规则。例如,没有隐私政策,或者隐私政策中没有关于如何收集和使用个人信息的相关内容。第三,账户不能注销。app不提供取消功能或取消后不及时删除个人信息。第四是将基本业务功能与其他业务功能“绑定”,要求用户授权并同意收集一次个人信息,如果不同意,则拒绝提供任何业务功能。第五,在提醒用户阅读隐私政策之前,未经用户同意收集个人信息或开始收集和上传个人信息。

(来自互联网的图像)

2018年5月1日实施的《信息安全技术个人信息安全规范》规定,相关数据控制方“如果接收方处理的个人信息超出上述范围,还应在合理的时间内获得个人信息主体的明确同意。欧洲联盟的《一般数据保护条例》对什么是有效的“个人同意”提出了严格的要求:个人沉默、预先检查和静止状态不足以确定个人已经表示“同意”。

此外,程知止还提到,常用sdk(软件开发工具包)收集个人信息的现象不容忽视。在日前举行的第七届互联网安全大会上,杜南个人信息保护研究中心发布的一份评估报告指出,60个被测试的应用程序平均每个应用程序使用19.3个SDK,一些SDK在收集个人信息时没有在他们的主机应用程序的隐私政策或弹出窗口中进行通知。一些sdk涉嫌隐藏和收集个人信息。其他人会将未加密的用户个人信息返回到他们的服务器...

“最关键的问题是,当前的信息安全市场并不完善。例如,对于与sdk个人信息安全相关的非法活动没有统一的标准,因此对于sdk广泛隐藏和收集用户个人信息也没有明确的标准。”程知止说道。

根据加密的大数据中心数据,截至今年4月底,共收集到267万安卓应用数据,其中50%以上的应用都不同程度地使用了第三方公司提供的sdk工具包。爱情加密包括414个sdk工具包,包括广告、框架、推送、统计、地图、支付、社交网络和其他类别,超过60%的sdk包含多个风险漏洞。

“为了实现功能的快速开发,应用程序开发人员通常在互联网上查询相关sdk进行调用。如果sdk源不可信或源是开放透明的,将存在潜在风险,如sdk源代码透明和界面暴露。程知止说道。

他还提到,如果在sdk中植入恶意程序,诱使开发者通过论坛、开发者辅助的网站和其他方式下载集成,恶意代码可能会在开发者不知情的情况下集成到应用程序中,并且在被用户安装和运行后,可能会发生信息窃取、垃圾邮件传播、远程控制、欺骗和欺诈等非法行为。

关于sdk的安全保护,程知止认为应采用“数据验证以实现分段保护”的理念。也就是说,在确保sdk业务运营发展的前提下,及时、快速地发现sdk在事件发生之前、之中和之后的破解、盗用和异常行为。

宣传周期间,国家计算机病毒应急中心执行副主任陈建民介绍,为了建立app和sdk安全治理的长效机制,国家计算机病毒应急中心将建立一个扁平化的快速响应联动机制。例如,对国内主流应用分销渠道的实时监控将帮助我们掌握现有应用分销渠道的数量、下载量、新量和活动,从而为监管部门掌握行业趋势和发展规律提供基本信息。

山西11选5 快三娱乐网站 上海11选5 500万彩票 pk10注册

上一篇:大货车“超载入刑”,抢在下次悲剧发生之前
下一篇:助力脱贫!宝鸡高新广场,市民收“货”乡村美味