【动画】@App开发者们�����,你想了解的SDK安全风险都在这!******
日前�����,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今�����,大量App借助SDK实现特定功能�����,提供便捷服务,满足用户多样需要�����,但APP使用SDK也可能带来相关安全问题�����,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中�����,SDK恶意行为是指嵌入APP中的SDK自身产生�����的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性�����,对用户权益、数据等方面造成严重威胁。典型�����的恶意行为如流量劫持�����、资费消耗�����、隐私窃取等�����。
常见SDK恶意行为
流量劫持指SDK信息拉取�����、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户�����的情况下,隐蔽窃取用户�����的通讯录�����、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者�����;广告刷量指SDK在最终用户不知情�����的情况下�����,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现�����,应用接入第三方SDK引发�����的违规收集个人信息问题较为普遍�����。其中,包括用户同意隐私政策前就开始收集个人信息�����、隐私政策中未明确提及所接入�����的SDK和数据收集情况�����、SDK收集�����的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入�����的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现�����,其主要提供用户行为统计功能�����,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本�����的不同�����,因此对其在不同月活范围 App 中�����的数据收集行为进行抽样分析�����,从结果上来看�����,该SDK 普遍存在违规收集和超范围收集个人信息的问题�����,并且在月活较低�����的 App 接入�����的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况�����,并且涉及大量用户隐私路径数据的访问�����。
以某知名地图 App为例,在相关检测中发现�����,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi �����的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下�����,应用收集个人信息范围�����的最小化原则�����。而在应用接入的 SDK 中�����,收集个人信息范围�����、频度�����的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围�����,但其合理性和必要性存疑�����,例如收集个人信息范围为软件安装列表�����,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息�����。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为�����。例如对解锁屏�����、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台�����、后台的切换行为从而触发数据的收集和上传�����。
另外�����,当前 App 接入的 SDK 中还存在云端控制SDK行为�����,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为�����。
(监制�����:张宁 策划:李政葳 制作:黎梦竹)
如何避免已婚未育成就业劣势�����?专家解析女子因已婚被辞事件******
如何避免“已婚未育”成就业劣势�����? 专家解析“女子上班第一天因已婚被辞”事件
采访背景
1月12日,一则“女子上班第一天因已婚被辞”的消息冲上热搜�����。据报道,广东省广州市�����的王女士第一天上班�����,填完资料�����,正在了解公司�����的相关介绍和日常的工作职责时,突然被人事叫到办公室通知辞退事宜�����,理由�����是“王女士已婚,后期会要孩子”�����。
王女士称,第一次遇到这种情况自己很生气。事情曝光后,不少网友对涉事企业明目张胆歧视女性就业�����的行为感到愤怒�����,纷纷呼吁加大执法力度、优化就业环境�����,消除女性就业歧视�����。
歧视女性就业违反了哪些法律法规?应该如何加强治理解决职场歧视问题?记者为此进行了深入采访�����。
□ 本报记者 张守坤
刚办完入职手续就被公司辞退了�����!令广东省广州市�����的王女士颇为不解�����的是,招聘时她已经告知企业自己“已婚”,面对人事时又明确说自己近期没有备孕的打算�����,但依然难逃被辞退�����的结局�����。
王女士�����的遭遇并非个例。女性就业歧视长期存在:女子怀孕7个月被公司告知“没产假”并被辞退�����;有酒店要求女员工“怀孕就主动辞职”�����;一女员工因怀上二胎遭公司解雇……
这不仅�����是对女性的职场性别歧视,更是对劳动法律的漠视。
在中国劳动关系学院法学院院长沈建峰看来�����,这种以性别或者婚否为由排除录用、提高录用条件或解除劳动合同的行为显然构成了就业歧视和违法解除劳动合同,也违反了妇女权益保障法。
王女士被辞一事曝光后,很多网友表示,女性在职场上被歧视�����的事情数不胜数�����。有女网友说,自己在面试时会被问到“结婚了吗”“准备生孩子吗”�����,甚至有企业人事直言已婚未育�����是劣势�����。
对于一些企业不愿找已婚未孕或正在备孕�����的员工这一问题�����,上海市某公司人事告诉记者,原因很简单�����,就是怕影响工作,进而影响企业效益�����。女职工产假相当于带薪休假,而且有了孩子后可能无法全身心投入工作�����。
我国法律明确规定�����,国家保障妇女享有与男子平等�����的劳动和社会保障权利。用人单位在招录(聘)过程中,除国家另有规定外,不得将限制结婚、生育或者婚姻�����、生育状况作为录(聘)用条件�����。但为何在现实生活中,职场性别歧视依然屡见不鲜、屡禁不止?
受访专家认为�����,这�����是由多种原因造成的,除了观念�����、社会经济发展等方面�����的因素外�����,也有法律制度方面�����的因素�����。
北京市律协劳动与社会保障专业委员会委员杨保全认为�����,女性在就业过程中所遭受的歧视往往不�����是以明显直接�����的方式存在�����的,而是以不易察觉的隐蔽方式,甚至�����是“披着合法的外衣”,女性所遭遇�����的歧视从应聘、工作�����、晋升、薪酬福利到退休,贯穿整个就业过程�����。对用人单位来说�����,规避法律法规的具体操作办法有很多,违法成本低�����。
在北京瀛和律师事务所律师赵彬看来,劳动者维权成本高�����,我国反就业歧视的相关立法规定过于原则�����,缺乏可操作性�����,容易出现受理难�����、审理难等困境,对劳动者�����的举证责任要求也比较高,导致维权难度大�����。同时�����,有关主管部门在就业歧视问题上的监管力度有待加强�����,例如�����,《劳动保障监察条例》还没有将就业歧视明确纳入到劳动保障监察事项中去�����。
“现有�����的法律并没有完全平衡好用人单位、女职工以及国家之间的利益�����。招聘女职工�����,对用人单位来说�����,可能加重用工成本,又没有相关分担机制,用人单位必然会排斥女职工�����的录用�����。比如,目前奖励产假期间�����的工资在很多地方都�����是由用人单位承担�����,一些地方规定男性享有�����的陪产假可以‘转让’给配偶享有等。”沈建峰说�����。
女性职场权益,如何才能有效保障?
沈建峰说,妇女权益保障法修订之后�����,进一步明确了构成就业歧视的行为,明确了对妇女�����的就业歧视等可以由人社部门责令改正�����;拒不改正或者情节严重的�����,处一万元以上五万元以下罚款,从而强化了对性别歧视的治理。此外�����,女职工遭遇就业歧视后�����,可以向人民法院提起诉讼�����,也可以向劳动保障监察部门投诉、举报�����,要求处理�����。
杨保全说�����,为更加有效地保护女性就业平等权,妇女权益保障法将就业性别歧视纳入公益诉讼范围。由检察机关提起反就业性别歧视公益诉讼,比个人诉讼提起更具优势。因此,如果劳动者感觉维权难度较大�����,可以求助检察机关�����。
“平等就业权兼有人格权益与身份权益的双重属性。就业歧视作为一种特殊的侵权形式�����,对受害人的救济可参考适用侵权法的责任形式�����。除了需要补偿受害人实际支出的费用和损失以外�����,还应补偿其丧失工作机会或工作的未来经济损失。对于用人单位给劳动者造成严重损失的,还应当予以惩罚性赔偿�����。造成严重精神损害�����的�����,应当根据损害的情节予以精神损害赔偿,以加大用人单位违法成本�����,起到规范和约束的作用�����。”杨保全说�����。
值得注意的是�����,在沈建峰看来�����,随着反就业歧视观念的深入人心,目前实践中直接而明确�����的就业歧视已经比较罕见�����,很少有用人单位在招聘简章中明确性别要求�����,也很少有用人单位告诉劳动者不被招聘�����的原因�����。目前,隐性�����的就业歧视比较常见,成为劳动者权益维护的难点和痛点。
对于隐性就业歧视�����,维权最大�����的难点在于举证。对此,赵彬建议�����,劳动者要注意收集相关证据�����。同时,相关部门应该在平等就业的宣导、监督�����、执法上加大力度�����,努力营造公平就业环境。
杨保全认为,还应健全司法救济机制。劳动关系成立前的招聘阶段,即受到就业性别歧视�����的受害人如要提起诉讼�����,根据既有证据规则的规定�����,需自行收集用人单位的侵权证据�����,然而,让尚未进入劳动领域�����的当事人收集用人单位�����的违法证据,在实践中的难度不仅远远大于劳动纠纷中�����的当事人�����,而且很有可能无法做到,使保障妇女合法权益、平等就业权成为空谈。因此�����,还需构建系统完善的司法程序�����。
“未来条件成熟时,应进一步完善就业促进法,制定专门�����的反就业歧视法�����,或者在劳动基准法中增加反就业歧视�����的规则�����,明确就业歧视的认定标准,合理分配就业歧视�����的举证责任�����,优化就业歧视�����的救济程序�����。”沈建峰说。
(文图:赵筱尘 巫邓炎)
[责编:天天中]
微信好友 
朋友圈 
)
佰家富app地图