【动画】@App开发者们 ，你想了解 的SDK安全风险都在这！******

　　日前 ，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App ，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今 ，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要 ，但APP使用SDK也可能带来相关安全问题 ，包括SDK自身安全漏洞 、SDK恶意行为 、SDK收集使用个人信息三类。

　　其中，SDK恶意行为 是指嵌入APP中 的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性 ，对用户权益、数据等方面造成严重威胁 。典型的恶意行为如流量劫持、资费消耗 、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定 的目标不同，恶意劫持App流量 ，可能对App造成损害 ；隐私窃取指SDK在用户不知情或误导用户 的情况下 ，隐蔽窃取用户 的通讯录 、短信息等个人敏感信息，隐蔽进行拍照 、录音等敏感行为 ，并发送给恶意开发者 ；广告刷量指SDK在最终用户不知情的情况下 ，在后台模拟人工点击广告链接进行牟利 。

　　在SDK收集使用个人信息方面 ，安天移动安全发现 ，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中 ，包括用户同意隐私政策前就开始收集个人信息 、隐私政策中未明确提及所接入的SDK和数据收集情况 、SDK收集的个人信息范围与隐私政策不相符等 。

　　除了上述 SDK恶意行为外 ，当前 App 接入 的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现 ，其主要提供用户行为统计功能 ，并在此过程中实现用户终端数据 的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中 的数据收集行为进行抽样分析，从结果上来看 ，该SDK 普遍存在违规收集和超范围收集个人信息 的问题 ，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围 的情况，并且涉及大量用户隐私路径数据 的访问。

　　以某知名地图 App为例 ，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集 的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传 的数据中除了包含 WiFi  的BSSID名称信息外，还频繁上传用户安装应用的列表信息 。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围 的最小化原则 。而在应用接入的 SDK 中 ，收集个人信息范围 、频度 的必要性和最小化原则同样适用于SDK 的功能业务场景 。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集 的个人信息范围 ，但其合理性和必要性存疑 ，例如收集个人信息范围为软件安装列表 ，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等 ，这就涉及超范围收集个人信息。

　　例如 ，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据 的收集和上传行为 。例如对解锁屏 、电源连接断开事件进行监听 、对用户终端安装、卸载应用行为进行监听 ，除此以外，还会监听应用前台 、后台 的切换行为从而触发数据的收集和上传。

　　另外 ，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制 ：张宁 策划：李政葳 制作：黎梦竹）

百强房企1月拿地额同比下降近三成 ，集中供地正在“淡出” ？******

　　2023年1月土地供应 、成交量均继续走低，房企拿地节奏明显变缓 。从数据来看，百强房企1月拿地总额同比下降29.4%。究其原因 ，不乏受重点城市集中土拍减少及春节假期错峰 的影响 。

　　回顾2022年22城集中供地来看 ，计划完成率不足六成。对于2023年土地市场走势，业内人士预计并不乐观 。其中 ，市场热度仍将持续分化 ，安全应成为今年房企选择城市的重要标准 。值得关注 的 是 ，各地与“集中供地”也渐行渐远 。比如，长沙取消集中推介土地 ，调整为常态化持续更新，南昌提出退出集中供地 ，而天津2023年首批供地仅推出1宗地块 。

　　房企拿地节奏放缓

　　受重点城市仅一城土拍及春节假期错峰 的影响 ，今年1月 ，土地供应量呈季节性回落 ，而房企 的拿地节奏也明显变缓 。

　　从中指研究院发布的《2023年1月全国房地产企业拿地TOP100排行榜》来看 ，今年1月 ，TOP100房企拿地总额591亿元 ，同比下降29.4% 。与以往一样 ，拿地企业主要以地方城投及本土民企为主。具体来看 ，绿城中国以累计新增货值83亿元占据榜单第一；广州润川房地产开发 、中关村发展紧随其后，累计新增货值规模分别为75亿元和66亿元 。

　　另据克而瑞统计数据显示 ，今年1月 ，重点城市集中供地近乎“中断”，仅宁波一城进行集中土拍 ，因此，优质地块供应量相对较少，难以吸引品牌房企投资 。为此，2023年销售百强房企(全口径)在1月投资基本暂缓，仅绿城 、华润置地 、建发房产等在纳储 。从拿地金额TOP100房企来看，城投企业上榜数量近50家 ，拿地金额更是占到百强房企拿地金额 的50% 。此外，拿地金额中有31%来自规模相对较小的本土民企 。

　　从今年1月各城市群拿地金额来看 ，长三角地区仍然领跑全国。据中指研究院统计数据显示 ，今年1月 ，长三角TOP10企业拿地金额124亿元 ，居四大城市群之首 。其中，溧阳城发集团拿地金额18亿元 ，位居长三角企业拿地金额榜首；粤港澳大湾区TOP10企业拿地金额82亿元，位列第二 ；中西部TOP10企业拿地金额77亿元，位列第三。

　　值得关注 的是 ，在全国住宅用地成交总价TOP10方面 ，今年1月入榜地块中多数位于长三角地区。入榜地块中 ，宁波共入榜3宗地块 ，总成交金额为49亿元 。其中宁波市东部新城核心区东片区D1-4-4#/5#/6#地块以总价25亿元位居榜首；佛山入榜2宗地块，总成交价为39亿元 ；西安入榜2宗地块 ，总成交价为24亿元，台州 、芜湖、温州各入榜1宗地块 ，成交价分别为13亿元 、12亿元和10亿元。

　　多地今年首批集中供地明显“缩量”

　　从目前来看 ，天津、杭州 、苏州、郑州已发布2023年第一批集中供应地块 的公告，与2022年第一批集中供地相比有着明显“缩量”趋势 。其中 ，杭州供应13宗地块，苏州供应11宗地块，相比2022年第一批集中供地明显减少 。不过 ，这些地块位置较优 ，核心板块占比高 ，推出楼面均价同比分别上浮约30% 、35%  。而天津仅供应1宗地块，相较于2022年第一批集中供地同样 是明显“缩量” 。相比之下 ， 郑州供应11宗地块，供应量与2022年第一批集中供地对比变化不大 。

　　中指研究院土地市场研究负责人张凯在“中指市场形势及企业研究成果分享会”上介绍 ，从2022年22城集中供地来看，计划完成率不足六成 。仅合肥、无锡 、上海、厦门4城完成全年供地计划 。长三角地区平均完成率92% ，长春、重庆完成率仅16%  。

　　张凯进一步分析称 ，目前对于“集中供地”的要求进一步淡化 。从各地的表现来看，与“集中组织出让活动”也渐行渐远。比如，长沙取消集中推介土地，调整为常态化持续更新，南昌提出退出集中供地 ，而天津2023年首个地块则 是单独供应。

　　业内：预期多次分散供地

　　2023年土地市场以冷清开启，业内人士对于全年 的预计仍不乐观。

　　张凯认为，地方政府应该意识到正在与其他城市竞争房企 的投资额度。在土地规则上，各地采取多次分散供地 ，优化供地条件 ，降低参拍门槛 。而非核心城市的地价会出现下调 。虽然房地产市场预期边际改善 ，但土地市场热度难有根本性恢复，地方国资企业仍将托底，2023年土地成交规模进一步小幅回落 。

　　“土地市场结构分化更加明显 ，其中，核心城市需求端政策仍有大量放松空间 ，其经济发展水平高、公共基础设施完备，对流动人口 的吸引力强。而三四线城市政策放开空间有限、人口流出 、库存高企 ，因此应谨慎进入。安全应成为2023年房企选择城市的重要标准。”张凯如 是说。

　　此外，克而瑞分析人士表示 ，今年1月，重点城市仅宁波一城进行了集中土拍 ，三四线城市供地节奏也明显变缓，全国土地市场成交规模降至历史低位 。虽然2022年出台了较多行业利好政策 ，其中不乏力度较大 的“三支箭”等有利房企融资 的组合政策等，但从效果来看 ，目前尚不明显，在市场筑底尚未结束 、房企资金压力尚未缓解之下，预计2023年土地市场热度仍将延续低位，市场热度仍将持续分化，房企关注焦点依旧 是核心一二线城市 的优质板块。