【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

漂亮的加拿大一枝黄花为何成为“恶魔之花”******

　　近日，一热心网友在湖北省武汉市城市留言板留言发现一重要入侵物种加拿大一枝黄花，该市农业局迅速响应并妥善处理。

网友城市留言板留言及回复

（图片来源：网络）

　　党的二十大报告明确提出：“加强生物安全管理，防治外来物种侵害”。防治外来物种侵害，事关生物安全，受到各界关注。在深秋季节，我们常常可以在路边看到一种盛开黄花的植物，这种植物就是加拿大一枝黄花，看看下图中美丽的花朵，你能想象它被部分生态学家、植物学家们戏称为“生态杀手”“恶魔之花”吗？在原产地，加拿大一枝黄花是难得的兼具观赏和药用的植物。但是它们到我国成功定殖以后，逐渐衍变成“生态杀手”——“恶魔之花”。

加拿大一枝黄花

（图片来源：中国植物志）

　　如何识别加拿大一枝花？它从哪里来？

　　路遇小黄花，到底该如何认清它们呢？首先明确，咱们本土是存在一枝黄花的，而且有好几种，与加拿大一枝黄花同属。比如一枝黄花（Solidago decurrens）、钝苞一枝黄花（Solidago pacifica）、毛果一枝黄花（Solidago virgaurea）。这些都是无害的本土植物，我们不用挨个都分得明明白白，只需要搞清楚它们和加拿大一枝黄花的区别就行。

　　加拿大一枝黄花（学名：Solidago canadensis L.）是桔梗目菊科的植物，又名黄莺、麒麟草。多年生草本植物，有长根状茎。最高可达2.5米。叶披针形或线状披针形，长5-12厘米。头状花序很小（4-6毫米），在花序分枝上单面着生，多数弯曲的花序分枝与单面着生的头状花序，形成开展的圆锥状花序。总苞片线状披针形，长3-4毫米。边缘舌状花很短。

加拿大一枝黄花

（图片来源：中国植物志）

　　加拿大一枝黄花原产于北美，是美国东北部和加拿大分布最多的多年生草本植物，现已成为世界范围内的入侵植物。到目前为止，它已经蔓延到大多数欧洲国家、亚洲、澳大利亚、新西兰和其他地区。从山坡林地到沼泽地带均可生长，常见于城乡荒地、住宅旁、废弃地、厂区、山坡、河坡、免耕地、公路边、铁路沿线、农田边、绿化地带。

加拿大一枝花在世界各地的分布

（图片来源：Chemistry Biodiversity）

　　加拿大一枝黄花会造成哪些危害？

　　作为一种多年生草本园艺植物，加拿大一枝黄花自1935年作为观赏植物引入上海、南京等地以来，现于我国广泛分布。种子数量极多，种子萌发成活率高。它能在荒地或受干扰的环境中迅速形成幼苗种群，并迅速蔓延，成为一种常见杂草。例如，研究发现一个6株的小群体8年可以演变成1400余株的大种群。它们对众多生态系统（如农田、荒地、草地、森林等）具有显著的负面影响，据统计，一旦该植物成功入侵果园，可造成10%-30%的经济损失，苗圃5%-15%，蔬菜3%-15%，甚至可造成部分经济作物绝收。

路边的加拿大一枝花

（图片来源：网络）

　　加拿大一枝花的大规模生长也会导致了许多乡土物种的生态位和多样性的减少，对当地的农、林、牧、渔业及其相关产业造成了严重的负面影响。已成为威胁我国本土生物多样性和生态环境的重要因素之一。更为严重的是，它甚至会危害人类健康和社会经济；随着全球经济、国际贸易、旅游业和交通运输业的迅速发展和壮大，其危害也在不断加剧。因此，已被登记为目前中国最危险的外来入侵植物之一。

　　加拿大一枝花为何在入侵地难逢敌手？

　　加拿大一枝黄花有三个特点：第一，繁殖能力强，无性有性繁殖方式结合；第二，传播能力强，可以通过种子随风传播，也能通过根状茎横走传播；第三，生长期长，在其他秋季杂草枯萎或停止生长的时候，加拿大一枝黄花依然茂盛，花黄叶绿，而且地下根茎继续横走，不断吞食其他杂草的领地，而此时其他杂草已无力与之竞争。

　　这三个特点使得它对所到之处本土物种产生严重威胁，易成为单一的加拿大一枝黄花生长区，造成许多经济作物直接减产，此外，加拿大一枝黄花还可以释放化感物质抑制其他植物种子萌发和幼苗生长，对本土植物产生抑制作用，对生物多样性构成严重威胁。

　　伴随着全球经济一体化加速发展，全球外来物种入侵呈现快速增长趋势，但远未达到饱和状态，“这不仅是中国的现状，也是全世界的现状”。外来物种成功入侵往往需要引进、入侵、建立和传播等几个主要阶段，在各个阶段我们都可以建立保护措施。我们应当树立防范外来入侵物种，保护生物多样性的意识，不随意购买、放生动植物，共同成为生态文明的守护者！发现加拿大一枝黄花应及时向有关部门举报。

　　作者：陈晓童（湖北大学生命科学学院在读研究生）

　　科学性把关：徐乐天（湖北大学副教授、博士生导师）