导语:
21世纪,是移动互联网的时代,伴随着移动互联网时代到来,App与人们工作生活的关联日益密切。如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要。但与之相关的安全问题也随之而来了。这让移动应用风险检测就显得尤为重要了。
一、 SDK不合规的影响
SDK通俗的说就是辅助开发某一类软件的相关文档、范例和工具的集合;一般第三方SDK是指由第三方服务商或开发者提供工具包。这些第三方SDK提供的App功能服务包括消息推送、支付、广告、行为分析统计、第三方登录等。有的SDK用于特定的品类应用中,比如,社交类App通常接入即时消息类SDK,网赚类App则会接入安全风控类SDK。
有研究表明,现在市场上几乎80%以上的APP都集成了第三方的SDK,特别是今年2月份,工信部信息通信管理局也通报了今年第一批侵害用户权益行为的App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
二、移动应用风险检测平台
为了针对APP的个人信息保护,指掌易研发的灵鉴•APP/SDK隐私威胁检测平台可以保护个人信息以及相关合规性检查的产品。该产品可以为各类行业客户提供专业的移动应用风险检测服务,辅助通过相关监管机构的合规检查,增强移动端业务的运营安全和风险管理能力。
三、APP/SDK隐私威胁检测平台功能
1、隐私政策条款合规性检查
自动化快速判断APP隐私政策文本及框架的合规性;采用人工检查和动态检测技术相结合的方式,快速完成APP的隐私政策内容合规检查。
2、个人信息收集行为合规性检查
通过自动化AI语义分析技术,快速识别隐私政策文本中声明收集的个人信息字段,建立个人信息收集检测的基线;结合人工检测,针对敏感个人信息的收集、使用、告知等行为进行比对核查,确保声明与实际相符合。
3、APP关键风险行为检查
监听APP及SDK的各类行为动作,根据业务实质及隐私政策声明判断识别APP及SDK的每一项行为是否合法合规;重点检测并跟踪常见的高风险行为,并精准定位风险行为的调用堆栈信息,提供详细的分析依据,方便开发人员快速排查和完善安全风险。
4、APP索权行为合规性检查
通过自动化的深度检测分析,统计APP实际申请使用权限清单及权限申请的方式、时机、告知情况等信息;通过对比APP实际申请使用权限的情况和隐私政策声明的业务功能及权限,识别两者之间的差异,并快速定位APP是否存在“过度索权”、“权限滥用”、“捆绑索权”、“一次性强制索权”等违法违规行为。
5、SDK综合成分及调用关系分析
深度分析宿主APP中第三方SDK的引入情况和相互调用逻辑关系, 深度采集SDK的收集、使用个人信息行为,并结合国家相关标准规范进行业务及隐私政策合规性检查,并完成精准问题定位。
四、总结
SDK在方便APP的同时也嵌入了风险元素,现在国家相关单位的部分标准文件中,已提出App和SDK的安全技术要求和规范指引,部分处于征求意见稿阶段,但SDK的风险是切切实实存在的,指掌易也希望研发的移动应用风险检测平台可以辅助通过相关监管机构的合规检查,来增强移动端业务的运营安全和风险管理能力。
