【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

百万中小企业可免费注册国家顶级域名，如何进一步数字化？******

　　1月16日，由中国互联网络信息中心(CNNIC)主办的互联网基础资源赋能百万中小企业数字化行动(以下简称“行动”)发布会在京举办。本次“行动”将在未来两年内，为百万中小企业提供免费注册国家顶级域名，降低IPv6地址(互联网协议第六版，地址长度为128位)的申请和使用费用，并以优惠价格提供主机、建站、邮箱等互联网应用产品和服务，帮助中小企业实现“提质、增效、降本、减存、绿色、安全发展”等多重发展目标，紧跟数字化进程。

　　多位受访的参与此次行动的注册服务商告诉新京报贝壳财经记者，中小型企业现在大部分没有自己的品牌域名和官网，此次支持中小企业注册域名的行动，为企业减少了成本，同时注册商配套产品价格给予优惠支持，助力中小型企业数字化转型。

　　工业和信息化部中小企业局二级巡视员廉莉在现场表示，数字化转型是中小企业高质量发展的必由之路，也是实现新型工业化的必然选择。“十四五”时期是我国中小企业数字化转型的关键窗口期和战略机遇期，本次“行动”为破解中小企业数字化转型“不愿转、不敢转、不会转”的共性难题提供了很好的工作思路。

　　助力中小企业降低数字化转型成本

　　在本次“行动”中，中国互联网络信息中心将为国内中小企业免费提供100万个国家顶级域名和隐私保护服务，降低IPv6地址的申请和使用费用，参与行动的19家注册服务机构将为中小企业提供价格优惠的云解析、企业邮箱、SSL证书、云服务器、DNS解析产品、网站建设等互联网应用产品和服务。

　　谈及国内目前中小企业域名注册的现状，中万网络商务总监于建军对新京报贝壳财经记者称，中小型企业现在大部分没有自己的品牌域名和官网，基本借助第三方平台宣传和推广，此次行动为企业减少了成本，助力中小型企业数字化转型。

　　“域名其实是商标和版权在网络上的一个衍生，也是中小企业的一个标配。”互联网域名系统北京市工程研究中心有限公司(简称ZDNS)副总经理冯硕对记者称，域名也是一个企业的流量入口，“用中国自己运营的域名，也更加安全可靠。”

　　新网域名业务总监杨纯也表示，参与本次行动的服务商除了提供域名注册，还提供互联网基础资源产品，并且给予很大的优惠降价。“在这个经济复苏阶段，能帮助中小企业解决成本问题。”

　　中国互联网络信息中心主任曾宇提出，此次行动，宗旨是助力中小企业数字化转型“转得起、用得上、出效益”。他还强调，本次“行动”要坚持创新引领，激发中小企业发展活力；推动示范引领，释放中小企业转型潜力，形成数字化转型系统解决方案；加大宣传推广力度，提升中小企业数字化转型意识。

　　中小企业数字化绝大多数还在探索中

　　近年来，中小企业数字化得到了越来越多关注。中科三方总经理邹立刚认为，中小企业的数字化要重点聚焦于数据、场景和数字技术。企业的智力成果、财务、人力资源等核心资产也是以数字化信息系统的方式管理和运营。“域名系统也是中小企业步入数字化的必经之路。”

　　不过在于建军看来，目前数字化转型还是国内中小型企业的短板，“部分企业还是没有重视起来企业数字化建设。”杨纯分析称，影响中小企业数字化进展的因素，一个是数字化成本，另一个是企业关于自身营销策略的思考。

　　“总体来看，我国中小企业的数字化绝大多数还处在探索阶段中，且面临着各种各样的问题，首先，中小企业数字化转型的成本高、试错能力差，这是中小企业实现数字化转型的最大阻碍。其次，很多中小企业没有专门的技术团队和人才，缺乏数字化转型所需要的技术储备。数据安全也成了中小企业数字化转型的主要顾虑。”邹立刚说。

　　去年11月3日，工信部印发《中小企业数字化转型指南》，面向中小企业、数字化转型服务供给方和地方各级主管部门，从增强企业转型能力、提升转型供给水平、加大转型政策支持等三方面提出了14条具体举措。工信部数据显示，中小企业贡献了50%以上的税收、60%以上的GDP、70%以上的技术创新、80%以上的城镇劳动就业、90%以上的企业数量，是国民经济和社会发展的生力军。但我国产业数字化发展多年，成果大多集中在头部市场，对中长尾端的覆盖，还存在较大的“数字鸿沟”，真正享受到数字化“红利”的中小企业并不多。

　　如何进一步促进中小企业数字化？杨纯对新京报贝壳财经记者分析称，专业的事情还是交给专业的人来做，“现在基础资源服务商都有比较成熟的方案，还是要多加推广，让中小企业用户跟服务商有更紧密的联系，由服务商帮他完成线上的数字化转型。”

　　于建军表示，中小型企业目前比较迷茫，“可能过去也做过互联网品牌建设和推广，但是效果不好，进一步做好数字化转型需要客户的认可，需要选择优质服务商积极配合提供数字化转型服务。”

　　邹立刚表示，促进中小企业数字化，一是需要政府政策的支持，加大资金支持力度，降低中小企业数字化转型的门槛，鼓励金融机构提供中小企业数字化转型相关的产品和服务等等。二是第三方技术服务商的技术支持，为广大中小企业提供域名、解析、建站、服务器等一整套的数字化转型所需。