【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
连花清瘟有三种剂型 该如何选择?******
连花清瘟自2005年获批上市以来,由于其广谱抗病毒、抑菌抗炎、退热止咳化痰以及调节免疫、提高抗病康复力的特点,一直在临床上广泛用于感冒、流感等病毒性呼吸道感染性疾病的防治。基于连花清瘟的确切疗效,2020年4月连花清瘟被国家药品监督管理局批准用于“新型冠状病毒肺炎轻型、普通型”的治疗。
如今“连花清瘟”这个名字几乎家喻户晓,但当消费者去药店购买连花清瘟时,很多人却常常被一个问题问住——要什么剂型的?
很多人知道连花清瘟,也有不少人家中常备连花清瘟,但知道连花清瘟有三种剂型的人似乎不多。2020版《中国药典》收录了连花清瘟胶囊、连花清瘟颗粒和连花清瘟片,这也正是市面上在售的连花清瘟的三种剂型。这三种剂型有何差别?需要之际该如何选择最适合自己或家人的剂型?
组方功效相同,剂型各有优势
实际上,连花清瘟胶囊、颗粒剂、片剂都是常用于治疗呼吸道感染病的中成药,三种剂型组方、功效及主治都一样,且三者均为口服用药,即全部为经胃肠道给药剂型。
连花清瘟的主要成分是金银花、连翘、炙麻黄、炒苦杏仁、石膏、板蓝根、绵马贯众、鱼腥草、广藿香、大黄、红景天、薄荷脑、甘草,具有清瘟解毒、宣肺泄热的作用,适用于感冒、流感症见发热或高热、恶寒、肌肉酸痛、咽干咽痛、身体乏力、舌红苔黄或黄腻等症状者。
那么,目前市面在售的连花清瘟胶囊、颗粒剂、片剂,三者在制作工艺上有什么区别?
胶囊剂是将药物有效成分填装在空心硬质胶囊中或密封于弹性软质胶囊中而制成的固体制剂。胶囊剂型不仅可以掩盖药物不良气味,更是隔绝了药物与外界水分、空气、光线的接触,从而提高了药物稳定性。因有了胶囊来隔绝外界,可更方便地控制胶囊在胃肠道中分散、分解、溶出和吸收起效的时间,使药物剂型做到了延缓释放和定位释放的目的。
颗粒剂作为一种常用中药口服固体剂型,是指使用原料药和适宜的辅料混合制成的呈现为干燥颗粒状的制剂,在使用时加温开水溶解,搅拌均匀后温度适宜即可口服。颗粒剂的工艺延续了传统中药汤剂的特点,所谓“汤者,荡也”,对病邪有扫荡之势,可知其来势勇猛、见效快捷。中药颗粒剂在保持了汤剂吸收快、显效迅速等优点的同时,又克服了汤药服前需临时煎煮、耗时费力、久存易变质等不足。
片剂是将药物原料与辅料等进行粉碎,造粒,干燥,再用压片机制成片状,最后在外层形成一层膜衣;也有不需要造粒和干燥,直接压成片剂者。连花清瘟片剂属于薄膜衣片类,使用了一种高分子物料作为片剂的衣膜,该方法应用广泛。这样做的原因,一是使药物理化性质更加稳定,在遇到空气、光线和水分时不易分解、变质,以此来保证药物质量与药效;二是可以掩盖部分中药的苦味或刺激性气味;三是有些药物遇胃酸易被破坏,需包肠溶衣。片剂覆盖一层膜之后,加入固定的食用色素包上颜色衣,则便于识别,可以防止误服。
如何选择连花清瘟剂型
如果单纯以起效速度而言,颗粒剂具有吸收快、显效迅速的特点。此外,一些吞咽功能不好或服药依从性差的人群,如儿童、老年人以及有吞咽功能障碍的人群等,出于服药时的安全性考虑,建议选用颗粒剂。但是颗粒剂在使用前需要用温开水调匀冲服,如果达不到这个条件,则只能选择其他剂型。另外颗粒剂在保存上不如胶囊和片剂方便,当有出差或旅游出行需求时,建议选择胶囊剂或片剂,使用时更为方便。
在知悉上述剂型各自优势以及患者自身状况的情况下,连花清瘟三种剂型的选择也应结合患者的用药顺应性而定,“怎么舒服怎么来”,以用药后症状得以缓解且没有其余不适为度,没有绝对的标准,不必拘泥。
在服用连花清瘟期间,应忌吸烟、饮酒,避免进食烧烤、火锅、麻辣烫、巧克力等辛辣、滋腻的食物,也不要贪凉饮冷,以免损伤中焦脾胃之阳气。为避免邪气留于体内,不宜在服用连花清瘟的同时,再服用人参、鹿茸、枸杞等滋补类中药或中成药。
连花清瘟虽是家中常备治疗感冒、流感的成药,但有严重的肝病、糖尿病、肾病等慢性病患者或正在使用其他药品,使用前可以咨询医师或药师,避免药物联用出现问题。需要强调的是,在新冠肺炎疫情的特殊背景下,疫情防控人人有责,当出现发热等不适时,应及时去医院就诊或上报社区,在医师指导下对症用药。(李妍)
(文图:赵筱尘 巫邓炎)