【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

中新社的归侨们******

　　何耕新

　　中新社成立60年了。我想撰文纪念，问老伴写什么内容？老伴儿不假思索地答道：“你就写中新社的归侨吧！”

　　与中新社的一段缘分

　　我来中新社工作之前，曾经与中新社有过一段缘分。1952年夏，我已经参加北京高校统一招生考试，正在等待发榜。根据考后即时公布的各科考题答案，我有把握被录取。有一天，北京归国华侨学生补习学校冯教务长通知我：“你到王大人胡同中侨委找王明爱同志，他有事跟你谈。”我遵嘱从西郊燕园乘公共汽车进城，找到中侨委。王明爱是菲律宾归侨，当时在中侨委文教司任职，参与中新社筹建工作。他见到我，开门见山地说：“中侨委正在筹建一个新闻机构，你在印尼喜欢写文章，愿意不愿意来工作？”我答道：“我回国的唯一目的是考大学。我有把握被录取，等我毕业后再说吧！”

　　在北京大学中文系新闻专业就读4年期间，中新社曾经两次与我打交道。一次是中侨委在中南海召开全国侨务工作会议，中新社给我送来记者证。一天上午，我持证走进中南海，聆听何香凝主任作报告。另一次是中新社派金家环到北大找我，向我约稿。

　　1956年夏，毕业前夕。北大中文系新闻专业罗列主任向我和同班的泰国归侨罗斌透露：“你俩分配到中新社工作。”事后，我才知道，罗列和中新社领导吴江是老战友。

　　我认识的上海复旦大学新闻系印尼归侨白国良，一年后也分派到中新社上海分社工作。

　　处处闪动归侨身影

　　我上班后，深深感受到：中新社从传达室到人事处，从采编部门到印刷厂，处处闪动归侨的身影，耳边不时响起带华侨腔的国语。中新社领导分我在广播部工作。当时，广播部设在宣武门新华社总社大院工字楼里，门口挂着“华侨广播部”的牌子，遇到外宾来访时，即将牌子取下，以免给外宾留下“中新社是官办的”口实。

　　我与泰国归侨郑伯涛，印尼归侨肖勰、王鹤寿同住一间集体宿舍，与菲律宾归侨黄素心大姐同在侨乡组，其他编辑组也有不少归侨，如越南归侨张式、黄艾华。我还听说印度归侨刘国勇在北大东语系印地语专业念二年级时，奉调到中新社广播部工作，令我钦佩。

　　说话带有浓重粤腔的越南归侨周毅之，吸引了我的注意力。这不仅因为周的妻子傅冬是傅作义之女，当年为北平和平解放立功，而且她还是《人民日报》记者，他俩堪称“夫妻记者”。周毅之早年回国，先在新华社工作，以后调到中新社广播部。上世纪50年代，荣毅仁邀请新加坡工商界知名人士访华，周毅之采写了不同于“新华体”的系列稿件，被海外侨报广泛刊载，在新华社大院里也传为美谈。可惜广播部1957年搬到北新桥时，周毅之没有跟着过来。

　　然而，我在北新桥中新社大楼里，遇见更多归侨。经过我社在广渠门举办的新闻班两年培训的印尼归侨陈刚、何浪都分配在广播部工作。

　　在专稿部，我遇见曾经在巴城中学教过书的印尼归侨尤文贤和担任过巴中学生会主席的校友张瑞元。

　　在北新桥附近的马道胡同里，中新社印刷厂绝大部分职工，从厂长到工人，从铸字、排字到校对、印刷、装订，百分之九十以上是归侨，并且绝大部分是泰国归侨。他们原是曼谷华文报纸《全民报》的员工，1951年该报被反共反华的銮披汶政府封闭后，举家回国，安排在中新社印制《中国新闻》。可以说，印刷厂是中新社归侨最集中的部门。

　　领导视归侨为“社宝”

　　我社归侨绝大部分是上世纪五六十年代来社工作的，调查资料显示，1952年至1966年“文革”前，总社员工223人，其中归侨160人，占员工总数的72%。他们来自印尼、马来亚、新加坡、泰国、日本、越南、缅甸、菲律宾、印度、毛里求斯、美国。

　　记得张帆副社长兼总编辑在全社大会上讲话时，称我社归侨为“社宝”，表示要充分发挥他们的独特优势，精心培养他们，大胆使用他们。

　　中新社第一任驻外(日本东京)记者是日本归侨李国仁，随后又由另一位日本归侨杨国光继任。杨国光为两位台湾记者首访大陆起了穿针引线的作用。

　　1963年，中新社首次派出记者团，由张帆同志率领，赴雅加达采访第一届新兴力量运动会。我社5名记者中，白国良、何耕新、张茂新均系印尼归侨，外办干部、菲律宾归侨王澄枢，受廖公委派，以中新社记者名义，在菲律宾运动员和体育官员中开展工作。当时，中菲尚未建交。白国良采写的雅加达茂物公路自行车比赛特写，既报道比赛过程，又穿插沿途热带风光的描写。时任新华社雅加达分社的沈定一称赞“这篇稿写得很有特色”。

　　上世纪60年代，中新社有两个专业机构——日本组和印尼组，清一色由归侨组成。

　　当时，中国与日本尚未建交。遵照廖公的指示，中新社组建清一色由日本归侨组成的“日本组”，他们每天抄收日本电台的日语广播，翻译成中文，出版《日本广播参考资料》，送外办和有关部门参阅。

　　1959 年， 印尼颁布《第9 号总统法令》，禁止华侨在县以下地区经商和居住，随即掀起对华侨实行逼迁的排华逆流。为了及时掌握印尼排华动向，中新社专门组建了一个“印尼组”，每天抄收印尼电台的印尼语广播，翻译成中文，出版活页资料，送中侨委及有关部门参阅。该“印尼组”由4位印尼归侨——林惠香、林必达、李顺辉、李兴业组成。

　　我作为一名归侨，相对而言，比较了解我社归侨，其中许多已经辞世，特以《中新社的归侨们》为题撰写本文，算是对我社归侨们的怀念吧！

　　(历史资料)