【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
去年首次公开募股融资继续维持高位 资本市场有力支持实体经济发展******
去年首次公开募股融资继续维持高位——
资本市场有力支持实体经济发展
本报记者 马春阳
2022年,受多重因素影响,全球多数股市呈现震荡下行,首次公开募股(IPO)活动明显放缓。相反,我国资本市场展现出强大韧性,A股IPO募资额不降反升,有力支持了实体经济发展。展望今年,随着全面实行股票发行注册制改革正式启动,A股吸引力有望进一步增强。业内人士预计,今年IPO有望延续强劲势头,为科创企业和新兴产业注入金融活水。
募资额度表现强劲
Wind数据显示,2022年A股IPO上市企业达到428家(含吸收合并及转板上市),合计融资额达到5869.66亿元,IPO融资额已连续3年突破4000亿元。相比于全球IPO市场的“黯淡”,A股IPO市场表现可谓一枝独秀,不论是上市数量还是募资额均远超全球其他资本市场。
专家认为,中国经济的韧性和活力、注册制改革持续推进,是推动A股市场IPO取得亮眼“成绩单”的关键因素。清华大学五道口金融学院副院长田轩认为,2022年A股IPO市场融资的强劲表现,也得益于我国积极采取货币政策、财政政策进行总量和结构性调控,为经济稳步复苏提供了有力保障。
“一方面,从流动性角度来看,去年3月份以来,美联储开启加息周期,全球多国也紧跟美联储步伐,导致全球流动性严重收紧,海外IPO呈现下滑态势。在海外流动性大幅收紧的背景下,国内流动性保持合理充裕,为企业IPO融资提供了良好的货币金融环境。另一方面,IPO持续升温也与国内资本市场建设愈发完善密切相关。随着注册制的推进和相关配套制度的完善,企业上市流程极大优化,IPO效率得到大幅提升。”川财证券研究所所长陈雳说。
“我国资本市场也采取了一系列改革举措,为企业IPO上市创造了良好条件。”田轩表示,例如,我国不断优化IPO发行定价和监管制度,加快完善退市机制和配套制度,进一步完善上市公司市场竞争形态、内部管理结构、风险管控等,市场整体运行环境更为稳定。
助力科创企业融资
剖析“成绩单”可以发现,科创板和创业板是IPO的主力军。按数量计算,创业板以150家领跑所有板块,占全年A股IPO的35%;科创板以124家紧随其后,占全年A股IPO的29%。
从融资额看,科创板和创业板的IPO融资额占全年A股总融资额七成以上,在去年A股前十大IPO融资中,有7家来自科创板。
“科创板和创业板先后试点注册制,意味着入口端手续简化,企业能否上市发行的决策权由市场决定。同时,随着多层次资本市场加快建设,两个板块定位更加清晰,对上市企业的包容度更大,上市效率大幅提升。”田轩表示。
从行业来看,2022年A股IPO企业主要来自工业及材料、信息技术及电信服务、医疗和医药、消费等行业。“科创板、创业板设立了多元包容的发行上市条件,允许未盈利企业、特殊股权结构企业、红筹企业上市,契合了科技创新企业的特点和融资需求。”田轩认为,两个板块融资额的提升将在助力创新型企业发展方面发挥更大作用,进一步提升企业创新活力,为高新技术企业、战略性新兴产业企业和成长型创新创业企业提供强有力的融资支持。
陈雳表示,工业及材料、信息技术及电信服务等行业IPO力度较大,充分体现了资本市场对科技创新企业及新兴产业的支持。“当前,资本市场对于国家重点产业的支持力度不断加大,引导更多资源流向符合国家战略的产业、科技产业、新兴产业,对于推动重点战略产业的发展,有效推动实体经济发展都具有现实作用。”陈雳说。
IPO规模有望维持高位
2月1日,全面实行股票发行注册制改革正式启动。在业内人士看来,这将有助于提高我国资本市场直接融资的质量和效率,推动更多新经济企业登陆资本市场,今年A股IPO市场仍有望维持强劲势头。
田轩表示,今年资本市场注册制改革实现全覆盖,相关配套制度如交易机制、退市程序、权益保障机制等也将持续完善,在加强区域性股权市场、新三板与北交所、科创板、创业板等市场联动上也将进一步发力,优化中小微企业直接融资通道。在此背景下,各市场板块互联互通、错位发展的格局将加快形成,市场运行环境将更加稳健,上市发行效率将进一步提升,A股IPO将保持增长态势。
对于全面注册制正式实施后可能受益的行业,粤开证券研究院首席策略分析师陈梦洁说:“符合国家战略发展方向的高成长行业有望得到政策支持。借鉴科创板、创业板等注册制经验来看,当前注册制股票中约有96%的股票属于战略性新兴产业。预计未来全面注册制将高度围绕国家战略发展方向,聚焦新一代信息技术、高端装备制造、生物医疗、新能源、数字创意产业等九大战略性新兴产业,解决‘卡脖子’问题。”