“国会山骚乱”两周年　“美国民主”仍深陷泥潭******

　　新华社华盛顿1月6日电（记者颜亮　孙丁）在政治极化加剧阴影下，美国6日迎来“国会山骚乱”两周年纪念日。

　　当天上午，国会众议院成员在位于美国首都华盛顿的国会大厦外举行仪式，向两年前在这场暴力骚乱中受伤的约140名警察致敬，在场的几乎全部是民主党人，仅有一名共和党众议员参加仪式。

　　美国总统、民主党人拜登6日下午在白宫出席纪念“国会山骚乱”两周年活动，他呼吁继续警惕政治极端主义，提醒这样的事件“可能再次发生”，称美国面临“一个历史拐点”。

　　民主党人主导的众议院国会山骚乱调查委员会近期发布一份调查报告，详细解释针对美国前总统特朗普的指控以及4项刑事转介——妨碍官方程序、密谋欺诈联邦政府、串谋做虚假陈述以及煽动或协助叛乱。

　　众议院共和党人发布的“对冲”报告则指责民主党玩弄政治，忽视“国会山骚乱”背后的安保失败，称时任众议院议长、民主党人佩洛西难辞其咎。

　　特朗普一直称针对他的指控站不住脚、受政治驱使，并试图淡化“国会山骚乱”性质。6日，特朗普支持者和反对者在国会山上各自举行集会，一度发生激烈争吵。

　　美国新一届国会日前开幕后，众议院议长选举持续“难产”，引发“历史性”政治僵局，众议院陷入瘫痪。美国一家政治咨询公司主席布拉德·班农认为，“国会山骚乱”过去两年，美国民主依然深陷困境，众议院“一团糟”，再次表明美国政治机构衰落。

　　2020年11月，美国4年一度总统选举在政治极化、新冠疫情、反种族主义浪潮以及经济萎缩中举行，拜登获胜，但特朗普反复宣称存在大规模选举舞弊，拒绝承认败选。

　　2021年1月6日，上万名特朗普支持者在白宫外举行集会，其中一部分人当天下午游行至国会山，暴力突破安保，闯入国会大厦。参众两院认证2020年总统选举结果的联席会议被迫中断，主持会议的时任美国副总统迈克·彭斯同数百名议员们惊慌撤离或躲藏。彭斯在骚乱平息后说，这是美国国会大厦历史上“黑暗一天”。

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）