国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

admin 2024年9月13日17:50:49评论13 views字数 3394阅读11分18秒阅读模式

点击蓝字关注我们

申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接

9月9日,以“网络安全为人民,网络安全靠人民”为主题的2024年国家网络安全宣传周在全国范围统一开展,助力全社会网络安全意识和防护技能提升。近年来,数据正逐渐成为互联网广告业务的核心驱动力之一,平台依托数据分析、群体画像等技术手段实现资源精准触达,并通过各类创意设计,不断提升广告投放效果与转化水平,使互联网广告跃升为数字时代营销活动最为重要载体之一。在此背景下,强化互联网广告服务安全合规能力,不仅有助于降低业务风险,确保行业健康发展、行稳至远,而且有利于提升用户体验,增强广大网民获得感、幸福感、安全感。
近年来,移动互联网快速普及,移动应用(App)、小程序成为广大网民获取各类资讯、服务的重要渠道,而互联网广告作为应用开发者的主要收入来源之一,通过API、H5、SDK等形式投放至海量应用,触达亿万用户。在这之中,软件开发工具包(SDK)凭借其接入便捷、功能丰富、调控精准等优势,日益受到广告平台及App开发者的青睐。但与此同时,SDK技术路径存在差异,开发者安全能力、合规意识参差不齐,导致数据安全、隐私保护等问题逐渐浮现。
一是敏感数据采集问题。部分广告SDK初始化阶段便以提升投放精度、反作弊等为由,大量收集设备信息、位置信息、应用列表信息等用户数据,收集范围可能超出实现服务所需,收集时机也缺乏合理的业务场景支持,不仅占用系统资源,影响用户体验,还可能导致隐私合规风险。
二是隐蔽高危行为问题。SDK作为独立封装的代码包,为实现功能或完成更新,可能在运行过程中执行资源拉取、代码下载等操作,但通过相关机制,SDK可能在开发者及用户不知情的情况下引入非预设功能或执行存在安全风险的代码,进而威胁用户数据安全。此前,甚至曝出恶意SDK提交正常代码逃避应用商店检测,在用户安装后自行下载恶意代码事件,引发广泛关注。
三是安全风险漏洞问题。与各类软件产品相同,SDK开发过程中可能遗留安全漏洞或BUG,一旦遭到有心人利用,可能被用于对宿主App或用户设备的攻击活动。例如通过不安全的通信协议,不法分子可在特定网络环境下发起中间人攻击,劫持SDK流量,下发指令或窃取数据,导致用户权益受到侵害。
四是广告内容规范问题。随着互联网广告资源愈发丰富,特别是聚合广告SDK的兴起,App开发者接入一款SDK即可实现复数广告平台资源的竞价投放,有效提高了填充率与广告收益。但与此同时,来源不一的广告资源及不断涌现的创意内容,也为SDK运营带来了难题。如何确保投放内容、形式的安全合规,避免成为不良广告、恶意链接的“帮凶”,正成为行业面临的一大痛点。此前发布的国家标准《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》将“推送过量广告,长期占用系统通知栏、屏幕界面,干扰最终用户正常使用”等归类为SDK恶意行为,更是为广告SDK开发者、运营者敲响了警钟,建立健全广告资源审核能力刻不容缓。
针对上述安全合规典型问题,互联网广告SDK的开发者、运营者应结合自身业务特点,从技术能力及管理手段两方面入手予以应对:
一是完善开发流程,落实生命周期管理。产品的设计开发是安全合规工作的第一道防线,建议SDK开发者建立标准化流程,引入敏捷开发、瀑布模型等实践,从需求分析、开发测试、更新迭代等阶段着手,推动安全合规工作“左移”。力求在需求分析阶段明确功能定位,在设计开发时杜绝违规行为,在更新迭代中持续提升安全水平,同时积极追踪安全合规热点问题,及时推送更新版本,确保SDK持续安全合规运行。
二是确保绿色透明,公开安全合规资讯。公开真实、完整的安全合规信息是建立用户信任的基本举措之一,建议开发者完善SDK合规指引、隐私政策、集成文档,并予以公开展示,使用户了解SDK业务功能及安全合规保障措施,同时协助开发者把握SDK数据传输、本地存储、权限调用、接口开放等必要技术信息。此外,如SDK存在热更新等代码拉取情况,则应遵循相关标准要求,向App开发者告知更新具体内容及可能造成的影响,确保SDK集成部署透明、稳定、高效。
三是建立监测能力,开展安全检测评估。安全评估、代码审计等工作是发现SDK风险漏洞,防患于未然重要手段,建议开发者建立日常安全监测能力,持续关注SDK安全配置、数据存储、数据交互,组件调用等方面风险、漏洞,及时发现并消除潜在风险,保护企业及用户数据安全。同时,SDK开发者应积极落实《个人信息保护法》要求,针对处理敏感个人信息、利用个人信息进行自动化决策等法定场景开展人信息保护影响评估(PIA),提升个人信息处理活动安全合规水平。
四是强化资源审核,严格把控广告内容。建议SDK开发者、运营者积极履行主体责任,对广告内容、形式进行严格评估、审核,确保内容真实、合法、健康。同时,建议接入众多第三方广告资源的聚合型SDK健全广告内容的动态监测能力及合作方白名单机制,强化对广告素材提供方的审核与接入把控,发现违规内容及时处置,为广大网民及App开发者提供安全、健康的互联网广告服务。

当前,生成式人工智能等前沿技术快速普及,在AI工具、微短剧等新“赛道”方兴未艾,互动式、沉浸式等创意不断涌现的同时,数据安全、隐私保护法律法规也在持续完善,相关治理工作不断深化,互联网广告行业面临着机遇与挑战并存的局面。作为广告投放、管理的重要技术手段之一,SDK安全合规已成为用户权益及数据安全保护的一道重要防线,如何在营销效果与安全合规间取得平衡,将持续受到关注。面对这一形势,为助力行业健康有序发展,中国信息通信研究院于2022年5月发起“绿色SDK产业生态共建行”,联合互联网广告企业在内的十五家企业共同签署《绿色SDK产业生态倡议书》,力求推动促成“安全高效开发、规范透明集成、合理充分利用”的SDK产业新格局。未来,“绿色SDK产业生态共建行动”将同互联网广告服务提供者、App开发者等行业主体一道,践行“产学研用”深度融合理念,调动行业自律新动能,为营造和谐、健康、安全的网络环境做出贡献。

作者简介:

解伯延,中国信息通信研究院安全研究所工程师,长期从事数据安全及个人信息保护领域研究,参与国家相关领域决策支撑、标准研制、监管测评等工作,在移动互联网数据安全实践及个人信息保护方面有着丰富经验。

推荐阅读
SDK安全 | 国家标准正式实施,SDK安全实践方向进一步明晰
SDK安全系列 | 数字化将建立在安全沙箱中
SDK安全 | 《重庆市金融服务类移动互联网应用程序个人信息保护指南》再谈SDK管理——近年SDK安全要求浅析
《数据安全技术 个人信息保护合规审计要求(征求意见稿)》解读:企业如何应对个人信息保护合规审计?(上)
《数据安全技术 个人信息保护合规审计要求(征求意见稿)》解读:企业如何应对个人信息保护合规审计?(下)
企业实践 | 汽车数据安全管理体系建设
《人脸识别技术应用安全管理规定(试行)》公开征求意见,探索中国治理方案
动态数据安全监管体系探索
API数据安全管理浅析
新技术新业务评估的初步探索
国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考
航天点亮梦想

中国航天日,是为了纪念中国航天事业成就,发扬中国航天精神而计划设立的一个纪念日。主旨是要铭记历史、传承精神,激发全民尤其是青少年崇尚科学、探索未知的热情,实现中华民族伟大复兴的中国梦。

国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考
重点工作回顾
国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

2024年数据安全“星熠”案例征集工作启动

国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

《数据安全产业技术产品服务全景图》重磅发布

国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

未成年人网络保护标准持续推进——细化场景举措,聚焦落地实施

国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

DSMM评估认证 | 全面推动数据安全能力建设,筑牢创新发展基座

国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

SDK安全 | 国家标准正式实施,SDK安全实践方向进一步明晰

数据安全共同体计划

(data security community)

“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。

咨询电话:

      曹京 (010) 5884 6840

      解伯延 18631643906

联系人邮箱:[email protected]

国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

原文始发于微信公众号(数据安全共同体计划):国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月13日17:50:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   国家网络安全宣传周 | 互联网广告SDK典型安全合规问题及应对思考https://cn-sec.com/archives/3152323.html

发表评论

匿名网友 填写信息