目录
摘要
通过研究热更新技术的机制原理,梳理当前主流热更新框架特点,对热更新技术引发的用户权益和个人隐私安全问题进行调研,并从标准规范、技术监督、行业自律等方面提出热更新问题治理方案,期待促进热更新技术在移动互联网行业中的良性使用。
关键词: 热更新; 用户权益保护; 个人信息保护
0 引言
近年来,移动互联网行业蓬勃发展,各类移动应用技术、模式、架构不断演进。其中,热更新技术作为移动应用开发中普遍使用的一种技术,常用于实现代码热修复、数据统计、内容推送等业务功能[1],提高了开发效率,丰富了应用场景。然而,热更新技术也容易被恶意开发者利用,成为侵害用户权益、规避合规监管、对抗技术检测的手段,给移动互联网行业生态的健康发展带来风险与隐忧。因此,亟需加强对热更新相关技术检测及合规治理的策略研究。
1 概述
1.1 热更新技术定义
热更新技术是指通过动态加载方式将代码或资源装入运行中的移动应用软件(Application,App),实现App的即时更新。该技术源于移动应用插件化的思想,即对App进行模块化开发,将不同的业务逻辑代码进行拆分和封装,形成“主程序+插件程序”的模式,并根据不同业务需求进行动态更新和插件替换[2]。相较于传统的App更新方法,热更新技术无需开发者重新发版、分发平台重新审核上架、用户重新下载,具备加载速度更快、更新成本更低、无需二次安装等特性。
1.2 原理及应用
根据功能场景的差异,可将常用的热更新技术方案分为资源热替换、代码热替换和动态库替换三类。其中,资源热替换通过修改App的已有资源包或添加新资源包来实现图片、文字、用户界面(User Interface,UI)布局等资源的动态更新和替换,主要应用场景包括UI更新及修复、动态换肤等;代码热替换主要包括原生层替换、类加载替换和即时运行三种方式,可用于漏洞修复、代码更新等场景;动态库替换通过重载新的安卓动态库实现原生层代码的热更新。
2 相关问题分析
热更新技术的发展和应用丰富了App业务模式,在促进产业发展的同时,技术滥用、衍生产品变异以及相关管理机制缺失等问题集中凸显,由此引发的各种安全隐患需高度关注、及时治理。
2.1 技术滥用严重
目前,由于技术滥用,热更新技术已成为恶意应用隐蔽扩散和侵害用户权益的常用手段。为了更好地隐藏自身恶意行为和违规内容,恶意应用通常在商店上架审核和在架投放阶段将自身无害化并伪装成正常应用,而当用户完成下载安装或满足某些特定触发条件时,再通过热更新的方式下发包含恶意代码或内容的新版本,实现App的“换装”“变脸”[3-4]。例如,某款健康类App在提交商店上架审核时的程序包体不包含恶意代码,而在用户下载并首次打开运行时,通过热更新方式加载恶意代码,实现自身图标的透明化,使用户无法正常卸载,同时开启常驻进程频繁弹出广告,影响用户正常使用。
此外,即使是对于没有恶意行为的常规