【动画】@App开发者们 ，你想了解的SDK安全风险都在这 ！******

　　日前 ，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App ，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务 ，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类 。

　　其中，SDK恶意行为 是指嵌入APP中 的SDK自身产生的恶意行为 。这种恶意行为将破坏使用SDK 的APP 的安全性 ，对用户权益 、数据等方面造成严重威胁 。典型的恶意行为如流量劫持、资费消耗 、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取 、上报和展示目标App提供者设定 的目标不同 ，恶意劫持App流量 ，可能对App造成损害 ；隐私窃取指SDK在用户不知情或误导用户的情况下 ，隐蔽窃取用户 的通讯录、短信息等个人敏感信息，隐蔽进行拍照 、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利 。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍 。其中 ，包括用户同意隐私政策前就开始收集个人信息 、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等 。

　　除了上述 SDK恶意行为外 ，当前 App 接入 的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据 的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析 ，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题 ，并且在月活较低 的 App 接入 的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据 的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址 。而实际上传的数据中除了包含 WiFi  的BSSID名称信息外 ，还频繁上传用户安装应用的列表信息 。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下 ，应用收集个人信息范围的最小化原则 。而在应用接入的 SDK 中，收集个人信息范围 、频度 的必要性和最小化原则同样适用于SDK的功能业务场景 。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围 ，但其合理性和必要性存疑 ，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外 ，还收集了安装应用运行状态信息等 ，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外 ，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据 的收集和上传行为。例如对解锁屏 、电源连接断开事件进行监听、对用户终端安装 、卸载应用行为进行监听 ，除此以外 ，还会监听应用前台 、后台 的切换行为从而触发数据 的收集和上传 。

　　另外 ，当前 App 接入 的 SDK 中还存在云端控制SDK行为 ，热更新技术控制 SDK 行为 ，后台拉活、自动下载安装、误触下载等风险行为 。

　　（监制 ：张宁 策划 ：李政葳 制作：黎梦竹）

如何打赢外来入侵物种阻击战 ？科研提供新依据新方法******

　　如何打赢外来入侵物种阻击战？

　　外来物种是一把双刃剑 。在一些情况下 ，引进外来物种确实有助于特定地域 的经济发展和生态保育。但 是在另一些情况下，外来物种又可能构成生物入侵。

　　【深瞳工作室出品】

　　采 写 ：实习记者 孙明源

　　本报记者 马爱平

　　策 划 ：刘 莉

　　今年1月1日，农业农村部会同自然资源部 、生态环境部、住房和城乡建设部 、海关总署和国家林草局组织制定 的《重点管理外来入侵物种名录》开始施行 。

　　“外来物种真不少啊”“这份‘黑名单’来得及时”……一经发布 ，这份目录就引来众网友热议，网上话题量达到298万多条。

　　基于2022年全国范围外来物种调查及科研人员多年来监测研究，这份最新名录内容从原有 的52种更新为59种 。

　　鳄雀鳝 、加拿大一枝黄花 、美国白蛾……对于这些外来入侵物种 ，人们或许只是偶有耳闻 。事实上 ，外来物种入侵在我国也非新问题 。大多数时候这些外来入侵物种并不显眼 ，它们静悄悄地给某些地区带去生态灾难，导致受灾地区以外 的人们很难关注到它们 。直到去年8月 ，鳄雀鳝以一种异样 的形式进入公众视野 ，让更多人知道了“外来入侵物种”到底 是什么。

　　抽干湖水只为两条外来“怪鱼”

　　“鱼抓到了吗 ？”

　　2022年8月26日 ，在某直播平台的上百条弹幕里 ，这个问题“刷屏”了。评论和弹幕背后有至少3700万网友看过直播。

　　直播现场在河南小城汝州 ，在那里 ，工作人员抽干了公园里近30万吨的湖水 ，只为抓住两条名为鳄雀鳝 的“怪鱼”。

　　次日，汝州通报称 ，一公一母两条鳄雀鳝已被捕获 ，并接受了无害化处理 。至此，持续一个月 的“抽湖捕鱼大战”落下帷幕。

　　其间，网上甚至出现过此次行动是“劳民伤财” 的质疑。

　　但这个事件 ，可以说给全民上了一节外来物种入侵 的科普课。

　　早在2002年 ，在创始人胡隐昌研究员 的带领下 ，中国水产科学研究院外来物种与生态安全创新团队已经开始关注外来入侵水生生物 。顾党恩是中国水产科学研究院外来物种与生态安全创新团队首席科学家 、国家大宗淡水鱼产业技术体系外来物种入侵防控岗位专家 。2009年起，该团队对包括鳄雀鳝在内的多种外来水生生物进行了长期大规模 的调查监测 。

　　鳄雀鳝食量惊人，一旦泛滥成灾，不仅会影响渔业生产 ，威胁粮食安全，更会通过捕食作用导致本土鱼类等水生动物种群 的急剧下降 ，从而影响水生生物多样性和水生生态系统 ，进而威胁生态安全 。

　　调查数据显示 ，鳄雀鳝近几年来在我国扩散蔓延速度非常快，在从海南到北京 、从上海到西南的大部分省区内都有野外捕获鳄雀鳝 的记录 。如果不及早干预 ，有可能扩散到大部分自然江河 。

　　为了摸清鳄雀鳝等外来水生生物的分布和数量变化 ，顾党恩团队常年在南方的各个水域撒网 、取水样 、“摸鱼”。

　　此次鳄雀鳝进入新版名录，与该科研团队提供 的大量第一手调查数据以及风险评估报告有着很大关系 ，可以说离不开这些科研工作者的多年努力 。

　　外来入侵物种防控部际协调机制办公室负责人介绍说 ，《重点管理外来入侵物种名录》在物种遴选上有四个依据：危害程度重、扩散蔓延快 、防控治理难、危害形式多样。“并不是所有外来入侵物种都能‘上榜’。”顾党恩告诉科技日报记者 ，鳄雀鳝能“上榜” ，是因为它会造成很严重 的危害 ，而且能快速扩散蔓延 ，一旦泛滥就很难得到有效控制 。

　　每年造成 的损失高达2000亿元

　　通过公开资料检索，记者发现我国较早 的外来入侵物种，是一种来自非洲马达加斯加 的蜗牛 。

　　20世纪30年代，这种蜗牛翻山过海，随着英国、日本的全球贸易首先出现在我国厦门 、台北 。如今 ，它已经广泛分布于我国南方多省区。这种蜗牛学名褐云玛瑙螺 ，即人们常说的“非洲大蜗牛”。

　　它就是典型的外来入侵物种 ，不仅对蔬菜等农作物危害极大 ，还携带多种会对人体带来危害 的病原体。

　　随着全球贸易往来日益频繁，外来入侵物种扩散蔓延的风险不断提高 ，外来入侵物种带来 的危害也逐渐增大。

　　农业农村部外来入侵生物防控重点实验室主任、中国农业科学院植物保护研究所生物入侵研究创新中心主任刘万学说 ，我国近十年新增入侵物种55种，每年新增入侵物种达5—6种，是20世纪90年代前新增入侵物种频率 的30倍 。

　　中国林科院森林生态环境与保护研究所副所长、外来有害生物与植物检疫学科组首席专家赵文霞记得 ，2010年时 ，西藏自治区林芝市出现大面积高山栎枯死 ，许多山头出现成片成片的枯死木，高原仿佛患上了“毛发斑秃” 。赵文霞及有关专家顶着高原反应走遍了这些山头，最终确认高山栎大面积枯死背后的“凶手”竟 是一种夜蛾科昆虫。高山栎虽能在高原挺拔屹立 ，面对外来入侵物种却可能遭遇生存危机。

　　另一种让赵文霞印象深刻的入侵物种是加拿大一枝黄花。这种菊科植物在我国南方极易滋生。“荒废 的上海造船厂长满了这种外来入侵物种，它们 的种子像蒲公英一样随处飘洒，风一吹漫天遍野 ，扎根之处不给其他植物留下任何生长空间。”赵文霞说 。

　　“所到之处寸草不生” ，这是顾党恩对另一种外来物种——齐氏罗非鱼的评价 。这种鱼吃水草能力极强，在实验环境条件下几条鱼一两周就可以吃光一水池 的水草。广州四大生态调蓄湖之一 的东山湖，因用于净化水质的水草往往被齐氏罗非鱼破坏殆尽，导致东山湖水质净化工作陷入停滞状态 ，水质一度沦为劣V类。

　　另一种对全球森林极具危险性和毁灭性的外来入侵物种则 是松材线虫。中国林业科学研究院首席科学家 、教授杨忠岐说，其引发的松材线虫病具有极强的传染性，被称为松树 的“癌症” 。一旦松材线虫侵入林区 ，会让以松树为主 的针叶林染上松材线虫病，从而对整个林区带来毁灭性的破坏。

　　“能想象某一天黄山 的主要景观资源黄山松都被毁灭殆尽，黄山再无迎客松吗 ？”杨忠岐告诉记者，1982年我国首次在南京中山陵发现松材线虫病 ，40年来松材线虫给我国林业造成了巨大损失和生态灾难 。

　　对于外来入侵物种造成 的灾害 ，刘万学提供了一组触目惊心 的数字：草地贪夜蛾危害严重时可能导致玉米、小麦等作物50%以上的产量损失 ；番茄潜叶蛾危害严重时可导致番茄减产80%—100% ；苹果蠹蛾对我国苹果和梨等水果产业构成的潜在经济损失高达140亿元/年；在1平方米 的玉米地里 ，30—50株豚草苗就可以导致减产30%—40% ；一只福寿螺中含有3000条以上寄生虫……而它们还只是外来入侵物种当中 的一小部分。

　　外来入侵物种对我国生态环境和经济发展带来严重负面影响 。据不完全统计，在我国 ，由外来入侵物种每年造成的直接和间接损失总计高达2000亿元 ，对外来入侵物种进行综合治理刻不容缓 。

　　科研为治理提供新依据新方法

　　与外来物种入侵的历史相比 ，我国对外来入侵物种的研究却起步较晚 。

　　赵文霞 是国内较早研究外来入侵物种 的学者之一，她从2002年开始研究外来入侵物种，但当时距非洲大蜗牛抵达我国已有70年 。

　　赵文霞回忆说 ，当时其主要工作是翻译国外关于入侵生物学 的经典图书、著作、论文。后来 ，随着外来入侵物种概念的引进以及一些应用实践 的展开 ，国内学者出版了一系列有代表性 的理论著作和论文。

　　赵文霞告诉记者，国外 的入侵生物学研究始于20世纪30年代 ，兴盛于50年代。我国外来物种研究本世纪初起步，经过科学家们20多年的努力 ，目前我国相关技术水平已经与国外不相上下 ，但由于起步晚，我国对许多入侵物种的入侵历史、路径和时间依然不了解，原始数据相当匮乏，还需要长时间积累来补齐短板。

　　新世纪以来，我国入侵生物学学者最重要的心血结晶之一，就 是上文提及 的2013年出台 、2023年1月1日更新的“名录”  。

　　2013年 ，原国家农业部发布了第一个国家层面 的外来入侵物种管理名单——《国家重点管理外来入侵物种名录》(第一批) 。这份名录包含52种入侵物种 ，既包括紫茎泽兰 、少花蒺藜草、非洲大蜗牛、福寿螺等入侵植物 、动物 ，也包括美国白蛾、桔小实蝇等有害昆虫 ，以及番茄细菌性溃疡病菌等有害病原物。

　　刘万学向记者介绍说，第一批目录 的出台具有里程碑意义。自2013年以来 ，我国科学界对于外来入侵物种有了更为清晰的认识 ，对外来入侵物种 的研究进入了快速发展期 。

　　与此同时 ，法律也在不断地修订完善 。

　　2022年12月30日，全国人大常委会通过新修订的野生动物保护法。该法明确规定 ：从境外引进野生动物物种 的，应当采取安全可靠的防范措施，防止其进入野外环境，避免对生态系统造成危害。

　　在新修订的野生动物保护法颁布之前，我国为防范外来物种入侵 ，制定了生物安全法 、进出境动植物检疫法 、引进陆生野生动物外来物种种类及数量审批管理办法等法律法规和政策文件，还发布了4批《中国自然生态系统外来入侵物种名单》 ，制定了《国家重点管理外来入侵物种名录(第一批)》。

　　“可以说 ，目前我国已建成防范外来物种入侵 的法律和政策体系 。”北京林业大学生态法研究中心主任杨朝霞教授告诉记者 。

　　杨朝霞曾多次参加全国人大常委会法工委组织或者委托组织的野生动物保护法修订草案研讨会，他 的许多建议也被吸纳进本次修订 的野生动物保护法中。本次修订 的野生动物保护法还特别强调：不得违法放生、丢弃 ，确需将其放生至野外环境的 ，应当遵守有关法律法规 的规定。

　　科学界也在行动，不断为治理和决策提供新 的依据和方法。

　　我国对外来入侵物种名录实行动态调整和分类管理 ，每10年组织开展一次外来入侵物种全国普查。2022年，我国启动了包括实地考察、面上调查和重点调查等外来入侵物种普查工作。近年来发现 的草地贪夜蛾 、鳄雀鳝等入侵物种，都在普查范围内 。

　　据赵文霞介绍 ，此次更新目录 ，最初各方提交上 的外来物种名单有800多种 ，经过多轮筛选 ，名单从800多种减少到200多种，又从200多种减少到100多种 ，最终从100多种确定了59种。

　　科研也在各类外来物种 的治理中发挥作用。例如 ，顾党恩团队和农业生态与资源保护总站合作开发了多重防控技术 ，应用于对广州东山湖齐氏罗非鱼 的治理 。结果显示，在控制试验前 ，齐氏罗非鱼为湖区 的优势种，占渔获物重量的79.41% ，防控试验20天后 ，工作人员在渔业抽样调查中未采集到齐氏罗非鱼。

　　从调查统计、判定优势种和危害 、甄别一个外来物种是否属于入侵物种 ，到提供治理方案 ，大批科研人员参与到外来物种 的防治工作中来。

　　相关方面都在积极努力 ，与外来物种进行坚决斗争。

　　将外来物种挡在国门之外 ， 是防治外来物种的第一步。2022年9月4日 ，上海海关发现了一批可疑 的快件 。工作人员打开检查，发现了300个大小一致的环氧树脂管 ，这些管里塞着潮湿 的棉花，每个管放了一只活体蚂蚁。

　　经鉴别 ，这些蚂蚁是来自欧洲南部的野蛮收获蚁 ，国内收货人大概是想将其作为宠物饲养 。但是 ，此类蚂蚁在我国并无自然分布 ，贸然引进有使其成为外来入侵物种的风险。

　　据了解 ，截至2022年11月，我国海关仅在上海口岸就设置了各类外来有害生物监测点471个。据海关总署通报，仅2022年上半年，全国海关就从旅客携带 、邮寄等渠道截获检疫性有害生物173种3.1万次 、活体动植物2925批。

　　外来入侵物种防控仍在路上

　　刘万学说 ，《重点管理外来入侵物种名录》所列物种 是当前和今后一个时期外来入侵物种防控 的重点，也 是治理外来入侵物种的行动指南。

　　在防治外来入侵物种的道路上，我们需要做的工作还有很多。

　　首先 ，需进一步完善相关法律 。杨朝霞举例说 ，新修订的野生动物保护法 ，加入了防治外来物种 的有关内容 。但目前鳄雀鳝、巴西龟等“异宠”的网上交易并未被遏止，主要原因在于现行立法对交易环节尤其是网上交易 的规制不足 。这些宠物如果不进入自然界，确实不构成外来物种入侵 。但 是 ，这些宠物具有逃逸或者被放生的可能性，交易、蓄养它们客观上增加了它们入侵自然界 的风险。为此，应对相关法律进行进一步完善 。

　　“以鳄雀鳝为例 ，我国法律并未对鳄雀鳝 的销售作出明确规定。这在一定程度上导致无法严格对鳄雀鳝的销售渠道、途径等进行监管 。放生行为极其隐蔽难以发现，鳄雀鳝很可能被混在其它鱼苗中放入自然环境 ，等鱼长大被发现后 ，也很难追踪放生者 。”杨朝霞说 。

　　其次，相关科学研究有待进一步深入 。刘万学指出，防治外来物种入侵和危害 ，监测预警、扩散阻截、应急处置、综合治理方面 的工作都需要加强。

　　“我们要进一步完善风险预判预警机制 ，如建立入侵物种风险预警 的大数据库 ，掌握入侵物种实时动态 。比如哪些物种有可能入侵 ，它们从哪些地方进来？通过什么样的方式进来？我们都要有研究 、有预判 。”刘万学说 。

　　第三，防治外来物种入侵亟待公众参与。顾党恩提醒说，了解和防治外来物种并非只 是管理者和学者的责任 ，要想做好防治工作，就得有全社会的共同参与。

　　“美洲牛蛙 、红耳彩龟、鳄雀鳝这类重点管理入侵物种如果只 是在可控 的养殖水体或者水族缸中并不会直接带来危害和形成入侵，是具有一定经济价值、观赏价值 的。但 是因为种种原因导致 的随意引种、放生和丢弃，反而使它们在野外变成了真正 的外来入侵物种 。此外，如果因为它们被列入重点管理入侵物种 ，导致把它们被当作‘有害动物’而被丢弃或弃养 ，更会造成严重的生态灾害 。让公众认识到放生和丢弃外来物种 的危害 ，对于外来入侵物种 的防控具有重要的意义 。当然，科学家也应该投入更大的精力来为公众提供必要 的科普服务 。”顾党恩说 。

　　“外来物种是一把双刃剑。”赵文霞说，在一些情况下，引进外来物种确实有助于特定地域的经济发展和生态保育。但是在另一些情况下，外来物种又可能构成生物入侵。例如 ，加拿大一枝黄花作为外来入侵物种，在江苏 、浙江一带扩张十分猖獗 ，占用了大量土地 。但 是 ，在北方，如河北石家庄地区 ，由于气候原因它很难大规模蔓延，却能够充当经济作物，作为鲜切花的配花为人们带来收入。

　　“科学认识外来物种之后 ，除了做到不随意丢弃或放生 ，普通公民还可以主动报告身边发现 的外来物种 ，为外来物种治理提供线索 。如果人人都能够从力所能及 的小事做起，随手消灭身边的外来入侵物种，就能真正筑立起外来物种入侵防控 的‘长城’ ，打赢这场外来物种入侵阻击战 。”顾党恩说 。

　　(本版图片除标注外由受访者提供)