从近期热点安全事件看SDK安全管理 – 作者:梆梆安全

第三方SDK留下暗门可导致企业App业务停摆

随着复工节奏的加快,远程办公的需求也日益旺盛,许多App也迎来海量的客户。但在流量的冲击下,一些细微的安全问题也被放大。近期就有某知名线上会议App被爆出所集成的第三方SDK在用户不知情的前提下大量搜集、传输个人信息,导致客户的隐私泄漏。问题发酵最终导致许多大型机构宣布为了安全在组织内禁用该App,线上会议公司面临大量用户流失,更面临巨额赔偿的风险。

结合其他报道,可以看出在此事件中该公司存在的问题包括:

l 没有完全掌握App的SDK集成情况,存在疏漏情况

l 没有完全掌握SDK的行为,包括SDK调用哪些涉及个人信息的敏感系统权限

l 在隐私协议中,没有写明SDK的具体行为

知其所以然,集成SDK合规之道

归根结底,开发者有效掌握App中SDK的集成情况,以及了解SDK的具体权限调用情况,是避免出现合规问题的前提。

一些常见的SDK,如支付类SDK、导航类SDK,本身的功能就与个人信息有密切关系,SDK常见搜集的信息包括手机设备信息(如IMEI、IMSI等设备唯一识别码)、网络信息(如IP地址、MAC地址、Wi-Fi热点等)、手机状态信息(如已安装/运行中的应用信息)、用户行为信息(如锁屏、安装、升级、卸载应用软件)、用户个人信息(如电话号码、地理位置、通话记录)等,其搜集的信息范围很广泛。SDK作为App的一部分,App需要对SDK的行为承担法律责任,《数据安全管理办法(征求意见稿)》、《个人信息安全规范》、《移动互联网应用程序(App)收集使用个人信息自评估指南》明确指出App应如何处理与SDK的关系。

从近期的安全事件中以及前期监管通报的案例中能够看到,多起案例均是App集成的SDK搜集个人信息,但没有在隐私政策提及SDK收集信息的动作,最终导致监管通报批评,造成不良舆论,甚至App被直接下架,对业务造成影响。

image.pngimage.png

因此,App开发者应该对自身集成的SDK进行合规分析,了解自身App中集成哪些SDK,其SDK行为是否全部列入隐私协议,并且需要分析SDK是否有隐藏的行为。

应用行为安全检测平台助力开发者维护SDK安全

对于上述问题,梆梆安全推出应用行为安全检测平台,帮助开发者透视SDK行为安全,进行应用合规保护。

1、快速发现SDK集成情况,将应用中集成的SDK全部列出;

2、发现SDK权限行为,帮助企业和开发者快速确认权限是否存在滥用情况;

3、审计SDK网络连接动作;

4、基于真实行为检测,不依赖特征;

5、使用方法简单,不需要使用人员掌握专业渗透测试技术。

做好SDK安全管理,守护应用合规防线

企业在当前数字化转型中业务越来越依赖于各式各样的应用,确保这些应用所集成SDK的安全可靠,是守护好业务发展的第一道防线。

企业在外包、集成SDK、使用开源框架、多渠道分发等场景下,可使用应用行为安全检测平台进行动态安全监测,提前发现SDK未授权的权限使用和访问行为。梆梆安全通过应用行为安全检测平台等安全产品,配合安全服务为企业提供接入阶段安全测试、发布阶段安全管控、运维阶段安全监测能力,帮助企业建立SDK全生命周期管理制度,保障软件供应链安全,避免出现各类违规行为,尤其是个人信息相关的合规问题,降低企业业务安全风险。

随着个人信息保护法律法规标准的落地实施,“回头看”成为大部分开发者需要做的事情,从个人隐私政策到个人信息收集,需要做到从野蛮生长到秩序成长,不断提升企业在个人信息保护方面的相关能力,使得最终用户能够安心使用企业所提供的服务。

来源:freebuf.com 2020-05-25 10:08:17 by: 梆梆安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论