【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

长城“最隐秘的暗门”现身******

　　本报记者 韩梅

　　近日，天津大学建筑学院教授张玉坤团队宣布，河北省秦皇岛市明长城段发现一处突门实物遗存。作为长城暗门家族中最隐秘的一员，突门生动地传承着中国古代长城建筑、军事以及文化智慧。

　　首次构建暗门“家族图谱”

　　“近几年，我们在明长城全线调研中首次构建了暗门的‘家族图谱’，并发现了其中最隐秘的类型——突门。”团队成员、天津大学建筑学院特聘研究员、博士生导师李哲介绍，发现突门的长城段位于秦皇岛附近，是2000多年前史书有关突门记载的首次实物发现。

　　突门作为一种古代防御设施，早在2000多年前的春秋战国时期就有类似设施的记载，《墨子·备突》篇中对突门做了专门的著述，暗门(突门)“藏于九地之下为暗，动于九天之上为突”。此后，唐、宋、明，甚至清代学者都有记述，但现代相关研究论文却寥寥无几，一直没有发现对应的实物。突门是所有暗门中最为秘密的出口，外面用一层砖砌上，从外面看和城墙一样，让敌人无法分辨。突门没有被击破的时候，完全是隐蔽状态，打仗时一旦需要出兵制敌，里面的士兵可以迅速击碎表层墙，就跟鸡蛋破壳一样，士兵破墙而出，侧面夹击敌人，甚至可以把火炮从突门推出来击退敌人。

　　已确认明长城有220处暗门遗存

　　长城的门洞就其规模而言，可以分为三类，其中较大型的是“关”，属于古代连通塞外与内地的重要地理门户，一般设有重兵屯集防守，如居庸关、黄崖关等；中等是“口”(边口)，如慕田峪口、张家口等；最小的即为“暗门”。所谓“暗门”，顾名思义，就是伪装隐藏起来、不公开的门。其所以设置乃是攻防需要。“由于历史的原因，长城上的暗门遗存较少，且散落暗处，不为人知，甚至被忽视和误解。”李哲说。

　　团队2003年启动对长城的研究，2004年起开始将无人机低空信息采集技术应用其中。2018年年底启动长城全线实景三维图像采集工程。4年多来，跨越10省区对明长城全线进行无盲区数字化测绘，用无人机拍摄的200余万张照片，制作完成平均厘米级精准的三维数据库，终于将明长城内外构造清晰明了地呈现在世人眼前。

　　暗门洞口一般宽0.6至1.6米，高1.5至2.5米，其中最窄的仅容单人、最宽的可通马匹对行；从结构上，暗门可分为石或木质过梁式和砖或石质拱券式。

　　时至今日，暗门实物遗存已甄别130余处，其中绝大多数为砖石遗址，集中分布于京津冀晋的蓟镇、真保镇、宣府镇、大同镇等区段。陕甘宁青明长城因夯土结构不易保存，目前仅发现2处暗门；此外依靠古代舆图整理出西部段41处暗门。许多暗门没有专属名称及门匾装饰，在已确认的220处暗门遗存中约一半属于此类。

　　封锁下的隐秘通道

　　“长城暗门(突门)的发现和挖掘，说明长城除了作为防御入侵的‘边墙’，还有另外一个身份——封锁下的隐秘通道，体现了中国古代朴素辩证的思维方式和深厚博大的规划思想，突门的发现和挖掘使得墨子时代的军事智慧有了实物传承。”张玉坤接受记者采访时说。

　　“暗门为人们开启了积极防御的新认知，打破了以往视长城为保守、封闭性象征的认识局限。”张玉坤说，沿着长城广泛分布、功能丰富、式样完备的暗门家族及其背后的巧思设计表明，即使是在宏大繁巨的军事工程体系建设中，古代中国人仍然执着于对政治局势、战争规律、防卫环境的细致把握，并将其贯彻于精密的工程设计之中，展现出惊人的统筹能力和严谨的实干精神。

　　长城国家文化公园建设对长城文化景观资源的挖掘与阐释、利用的深度与广度提出了更高的要求。团队对暗门功能、类型、分布的深入分析有助于原真性解读长城各类设施及整个防御体系的建设意图和运作机制，从整体视角撬动一系列新的遗址价值认知，引领长城文化景观资源的深度挖掘。

　　暗门看似细枝末节，但却能够牵引出多层次的长城历史认知。这说明无论是长城文保管理还是文化园建设，应保持对遗址细节的敬畏，立足于对长城遗存进行全面系统观察研究。