【动画】@App开发者们,你想了解的SDK安全风险都在这!******
日前,工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App,有13款内嵌第三方SDK存在违规收集用户设备信息行为。
现如今,大量App借助SDK实现特定功能,提供便捷服务,满足用户多样需要,但APP使用SDK也可能带来相关安全问题,包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。
其中,SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性,对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。
常见SDK恶意行为
流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害;隐私窃取指SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者;广告刷量指SDK在最终用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。
在SDK收集使用个人信息方面,安天移动安全发现,应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中,包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。
除了上述 SDK恶意行为外,当前 App 接入的 SDK 中还存在以上风险行为类型
在对某统计类SDK检测分析时研究发现,其主要提供用户行为统计功能,并在此过程中实现用户终端数据的收集和上传。
由于该SDK 在不同App中存在模块代码和版本的不同,因此对其在不同月活范围 App 中的数据收集行为进行抽样分析,从结果上来看,该SDK 普遍存在违规收集和超范围收集个人信息的问题,并且在月活较低的 App 接入的版本中,还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况,并且涉及大量用户隐私路径数据的访问。
以某知名地图 App为例,在相关检测中发现,在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外,还频繁上传用户安装应用的列表信息。
国家标准计划《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》中明确定义了不同业务场景下,应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中,收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。
虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围,但其合理性和必要性存疑,例如收集个人信息范围为软件安装列表,但实际除了收集安装应用包名信息外,还收集了安装应用运行状态信息等,这就涉及超范围收集个人信息。
例如,某统计类 SDK除了应用开发者本身主动调用相关事件接口外,SDK自身还注册监听了多种广播消息,在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听,除此以外,还会监听应用前台、后台的切换行为从而触发数据的收集和上传。
另外,当前 App 接入的 SDK 中还存在云端控制SDK行为,热更新技术控制 SDK 行为,后台拉活、自动下载安装、误触下载等风险行为。
(监制:张宁 策划:李政葳 制作:黎梦竹)
诺奖问答| 2022 年诺贝尔化学奖授予点击化学和生物正交化学,有哪些信息值得关注?******
相比起今年诺贝尔生理学或医学奖、物理学奖的高冷,今年诺贝尔化学奖其实是相当接地气了。
你或身边人正在用的某些药物,很有可能就来自他们的贡献。
2022 年诺贝尔化学奖因「点击化学和生物正交化学」而共同授予美国化学家卡罗琳·贝尔托西、丹麦化学家莫滕·梅尔达、美国化学家巴里·夏普莱斯(第5位两次获得诺贝尔奖的科学家)。
一、夏普莱斯:两次获得诺贝尔化学奖
2001年,巴里·夏普莱斯因为「手性催化氧化反应[1] [2] [3]」获得诺贝尔化学奖,对药物合成(以及香料等领域)做出了巨大贡献。
今年,他第二次获奖的「点击化学」,同样与药物合成有关。
1998年,已经是手性催化领军人物的夏普莱斯,发现了传统生物药物合成的一个弊端。
过去200年,人们主要在自然界植物、动物,以及微生物中能寻找能发挥药物作用的成分,然后尽可能地人工构建相同分子,以用作药物。
虽然相关药物的工业化,让现代医学取得了巨大的成功。然而随着所需分子越来越复杂,人工构建的难度也在指数级地上升。
虽然有的化学家,的确能够在实验室构造出令人惊叹的分子,但要实现工业化几乎不可能。
有机催化是一个复杂的过程,涉及到诸多的步骤。
任何一个步骤都可能产生或多或少的副产品。在实验过程中,必须不断耗费成本去去除这些副产品。
不仅成本高,这还是一个极其费时的过程,甚至最后可能还得不到理想的产物。
为了解决这些问题,夏普莱斯凭借过人智慧,提出了「点击化学(Click chemistry)」的概念[4]。
点击化学的确定也并非一蹴而就的,经过三年的沉淀,到了2001年,获得诺奖的这一年,夏普莱斯团队才完善了「点击化学」。
点击化学又被称为“链接化学”,实质上是通过链接各种小分子,来合成复杂的大分子。
夏普莱斯之所以有这样的构想,其实也是来自大自然的启发。
大自然就像一个有着神奇能力的化学家,它通过少数的单体小构件,合成丰富多样的复杂化合物。
大自然创造分子的多样性是远远超过人类的,她总是会用一些精巧的催化剂,利用复杂的反应完成合成过程,人类的技术比起来,实在是太粗糙简单了。
大自然的一些催化过程,人类几乎是不可能完成的。
一些药物研发,到了最后却破产了,恰恰是卡在了大自然设下的巨大陷阱中。
夏普莱斯不禁在想,既然大自然创造的难度,人类无法逾越,为什么不还给大自然,我们跳过这个步骤呢?
大自然有的是不需要从头构建C-C键,以及不需要重组起始材料和中间体。
在对大型化合物做加法时,这些C-C键的构建可能十分困难。但直接用大自然现有的,找到一个办法把它们拼接起来,同样可以构建复杂的化合物。
其实这种方法,就像搭积木或搭乐高一样,先组装好固定的模块(甚至点击化学可能不需要自己组装模块,直接用大自然现成的),然后再想一个方法把模块拼接起来。
诺贝尔平台给三位化学家的配图,可谓是形象生动[5] [6]:
夏普莱斯从碳-杂原子键上获得启发,构想出了碳-杂原子键(C-X-C)为基础的合成方法。
他的最终目标,是开发一套能不断扩展的模块,这些模块具有高选择性,在小型和大型应用中都能稳定可靠地工作。
「点击化学」的工作,建立在严格的实验标准上:
反应必须是模块化,应用范围广泛
具有非常高的产量
仅生成无害的副产品
反应有很强的立体选择性
反应条件简单(理想情况下,应该对氧气和水不敏感)
原料和试剂易于获得
不使用溶剂或在良性溶剂中进行(最好是水),且容易移除
可简单分离,或者使用结晶或蒸馏等非色谱方法,且产物在生理条件下稳定
反应需高热力学驱动力(>84kJ/mol)
符合原子经济
夏尔普莱斯总结归纳了大量碳-杂原子,并在2002年的一篇论文[7]中指出,叠氮化物和炔烃之间的铜催化反应是能在水中进行的可靠反应,化学家可以利用这个反应,轻松地连接不同的分子。
他认为这个反应的潜力是巨大的,可在医药领域发挥巨大作用。
二、梅尔达尔:筛选可用药物
夏尔普莱斯的直觉是多么地敏锐,在他发表这篇论文的这一年,另外一位化学家在这方面有了关键性的发现。
他就是莫滕·梅尔达尔。
梅尔达尔在叠氮化物和炔烃反应的研究发现之前,其实与“点击化学”并没有直接的联系。他反而是一个在“传统”药物研发上,走得很深的一位科学家。
为了寻找潜在药物及相关方法,他构建了巨大的分子库,囊括了数十万种不同的化合物。
他日积月累地不断筛选,意图筛选出可用的药物。
在一次利用铜离子催化炔与酰基卤化物反应时,发生了意外,炔与酰基卤化物分子的错误端(叠氮)发生了反应,成了一个环状结构——三唑。
三唑是各类药品、染料,以及农业化学品关键成分的化学构件。过去的研发,生产三唑的过程中,总是会产生大量的副产品。而这个意外过程,在铜离子的控制下,竟然没有副产品产生。
2002年,梅尔达尔发表了相关论文。
夏尔普莱斯和梅尔达尔也正式在“点击化学”领域交汇,并促使铜催化的叠氮-炔基Husigen环加成反应(Copper-Catalyzed Azide–Alkyne Cycloaddition),成为了医药生物领域应用最为广泛的点击化学反应。
三、贝尔托齐西:把点击化学运用在人体内
不过,把点击化学进一步升华的却是美国科学家——卡罗琳·贝尔托西。
虽然诺奖三人平分,但不难发现,卡罗琳·贝尔托西排在首位,在“点击化学”构图中,她也在C位。
诺贝尔化学奖颁奖时,也提到,她把点击化学带到了一个新的维度。
她解决了一个十分关键的问题,把“点击化学”运用到人体之内,这个运用也完全超出创始人夏尔普莱斯意料之外的。
这便是所谓的生物正交反应,即活细胞化学修饰,在生物体内不干扰自身生化反应而进行的化学反应。
卡罗琳·贝尔托西打开生物正交反应这扇大门,其实最开始也和“点击化学”无关。
20世纪90年代,随着分子生物学的爆发式发展,基因和蛋白质地图的绘制正在全球范围内如火如荼地进行。
然而位于蛋白质和细胞表面,发挥着重要作用的聚糖,在当时却没有工具用来分析。
当时,卡罗琳·贝尔托西意图绘制一种能将免疫细胞吸引到淋巴结的聚糖图谱,但仅仅为了掌握多聚糖的功能就用了整整四年的时间。
后来,受到一位德国科学家的启发,她打算在聚糖上面添加可识别的化学手柄来识别它们的结构。
由于要在人体中反应且不影响人体,所以这种手柄必须对所有的东西都不敏感,不与细胞内的任何其他物质发生反应。
经过翻阅大量文献,卡罗琳·贝尔托西最终找到了最佳的化学手柄。
巧合是,这个最佳化学手柄,正是一种叠氮化物,点击化学的灵魂。通过叠氮化物把荧光物质与细胞聚糖结合起来,便可以很好地分析聚糖的结构。
虽然贝尔托西的研究成果已经是划时代的,但她依旧不满意,因为叠氮化物的反应速度很不够理想。
就在这时,她注意到了巴里·夏普莱斯和莫滕·梅尔达尔的点击化学反应。
她发现铜离子可以加快荧光物质的结合速度,但铜离子对生物体却有很大毒性,她必须想到一个没有铜离子参与,还能加快反应速度的方式。
大量翻阅文献后,贝尔托西惊讶地发现,早在1961年,就有研究发现当炔被强迫形成一个环状化学结构后,与叠氮化物便会以爆炸式地进行反应。
2004年,她正式确立无铜点击化学反应(又被称为应变促进叠氮-炔化物环加成),由此成为点击化学的重大里程碑事件。
贝尔托西不仅绘制了相应的细胞聚糖图谱,更是运用到了肿瘤领域。
在肿瘤的表面会形成聚糖,从而可以保护肿瘤不受免疫系统的伤害。贝尔托西团队利用生物正交反应,发明了一种专门针对肿瘤聚糖的药物。这种药物进入人体后,会靶向破坏肿瘤聚糖,从而激活人体免疫保护。
目前该药物正在晚期癌症病人身上进行临床试验。
不难发现,虽然「点击化学」和「生物正交化学」的翻译,看起来很晦涩难懂,但其实背后是很朴素的原理。一个是如同卡扣般的拼接,一个是可以直接在人体内的运用。
「 点击化学」和「生物正交化学」都还是一个很年轻的领域,或许对人类未来还有更加深远的影响。(宋云江)
参考
https://www.nobelprize.org/prizes/chemistry/2001/press-release/
Pfenninger, A. Asymmetric Epoxidation of Allylic Alcohols: The Sharpless Epoxidation[J]. Synthesis, 1986, 1986(02):89-116.
Rao A S . Addition Reactions with Formation of Carbon–Oxygen Bonds: (i) General Methods of Epoxidation - ScienceDirect[J]. Comprehensive Organic Synthesis, 1991, 7:357-387.
Kolb HC, Finn MG, Sharpless KB. Click Chemistry: Diverse Chemical Function from a Few Good Reactions. Angew Chem Int Ed Engl. 2001 Jun 1;40(11):2004-2021.
https://www.nobelprize.org/uploads/2022/10/popular-chemistryprize2022.pdf
https://www.nobelprize.org/uploads/2022/10/advanced-chemistryprize2022.pdf
Demko ZP, Sharpless KB. A click chemistry approach to tetrazoles by Huisgen 1,3-dipolar cycloaddition: synthesis of 5-acyltetrazoles from azides and acyl cyanides. Angew Chem Int Ed Engl. 2002 Jun 17;41(12):2113-6. PMID: 19746613.
(文图:赵筱尘 巫邓炎)