美共和党议员履历造假麻烦不断 民主党人趁机出手******

　　中新网1月11日电 综合报道，深陷履历造假丑闻的美国国会共和党众议员乔治•桑托斯麻烦不断。两名民主党议员10日向众院道德委员会递交了一份针对他的道德投诉，称其未能及时、准确、完整地提交财务披露报告，敦促委员会对此展开调查。

　　当地时间10日，民主党议员里奇•托雷斯和丹尼尔•高曼向众院道德委员会提交了针对桑托斯的道德投诉，并向共和党国会办公室提交了一份六页的文件副本。

　　议员们声称，桑托斯没有提交准确和完整的财务披露报告的时间，违反了政府的道德规定。

　　两人将注意力集中在一些关于桑托斯财务记录的指控上，包括他未能在共和党初选前提交财务披露表格，他是否正确地报告收入，以及他是否通过他的公司从事欺诈活动。

　　投诉指出，桑托斯披露他每年从其公司Devolder获得超过100万美元的红利。但是，财务数据公司Dun&Bradstreet估计，截至2022年7月20日，该公司收入仅为43688美元。

　　议员们还指出，桑托斯在巴西里约热内卢的财产所有权存在分歧。财务报表显示他在巴西有一套公寓，但他说他并不拥有这处财产。

　　众院道德委员会首先必须决定是否针对这一投诉展开调查。目前还不清楚该委员会是否会这样做。托雷斯说，如果该委员会认为这些指控是有道理的，桑托斯应该面临纪律处分。

　　桑托斯针对投诉回应称，“他们想做什么就做什么”。

　　当被问到他是否担心时，这位议员回答说：“我没有，我没有做任何不道德的事。”当被问到他是否认为自己做错了什么，他补充说，“我没有。”

　　自从上个月桑托斯履历造假的细节浮出水面以来，众院议长麦卡锡基本上一​​直保持沉默。众院多数党领袖斯卡利斯10日在众院共和党新闻发布会上表示，党内领导层将在内部处理有关桑托斯的问题。

　　“显然，人们对我们所听到的感到担忧。我们将不得不坐下来和他谈谈。”斯卡利斯说。

　　此外，竞选法律中心9日向联邦选举委员会提交了一份投诉，指责桑托斯违反竞选财务法的行为。纽约东区和纳苏县地方检察官也在调查桑托斯。

　　巴西执法部门也将恢复对桑托斯的欺诈指控，重新审理2008年他参与的一起刑事欺诈案。

　　桑托斯现年34岁，作为共和党人，在2022年美国中期选举中当选代表纽约州国会第3选区的众议员。他近期被美媒揭露履历造假，包括教育背景和工作经历等，他本人也在媒体追问下承认造假行为，但诡辩称“这不妨碍我当好国会议员”。

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）