诸多顽疾积重难返 中国足坛亟待荡涤沉疴******

　　诸多顽疾积重难返，除弊革新需用重典——

　　中国足坛亟待荡涤沉疴

　　兔年新春的节庆气氛尚未散去，中国足坛依然深陷寒冬——大年初四，已坚守十余年的武汉长江俱乐部宣布退出中国男子足球职业联赛，成为新赛季准备期第一支选择离开的球队。

　　近几个赛季以来，每逢联赛结束都有球队解散或者退出的消息传出，甚至还出现过中超冠军(江苏苏宁)夺冠后即解散的尴尬。究其原因，经营困难入不敷出只是表象，规划乱、理念杂、人才缺、管理差等困扰中国足坛尤其是职业联赛多年的沉疴顽疾难除才是根源。如果不能在上述关键环节彻底除弊革新，中国足球的未来依然艰难。

　　刚刚过去的一年，对于武汉足球而言可谓“冰火两重天”——作为“升班马”的武汉三镇一鸣惊人，一举拿下中超冠军；而在武汉乃至湖北足球危难时刻扛起大旗的武汉长江，却最终未能“挺住”，只能接受中超降级和退出职业联赛的双重苦涩。

　　武汉长江俱乐部在通告中并未明确退出原因，只是承认“俱乐部和球队管理运营方面有很多地方做得不够好”。但关注中超等国内职业足球联赛的人们不难想到，近年来经营环境持续恶化，俱乐部经营举步维艰，是他们最终选择告别的主因。武汉长江，成为昔日中国足坛“金元风暴”后遗症的又一个受害者。

　　据公开资料显示，自2011年12月卓尔控股(长江俱乐部投资方)全面接手球队以来，累计投入已近40亿元人民币。但即便如此，武汉长江在昔日一掷万金的广州恒大、河北华夏幸福、江苏苏宁等所谓“豪门”面前也是“小儿科”。

　　受到“金元足球”的裹挟，绝大多数中超俱乐部、部分中甲甚至是中乙球队，在近10年来盲目进行军备竞赛，投入一路狂飙。例如2017赛季的中超“升班马”贵州恒丰，在首个中超赛季的投入就高达10亿元人民币。如脱缰野马一般的高额投入，最终成为压垮俱乐部的沉重枷锁。

　　据统计，算上武汉长江，中超联赛近4个赛季连续有4家俱乐部宣布解散退出。近4年来，中超、中甲和中乙三级职业联赛更有多达45家俱乐部宣布解散或退出。

　　更令人担忧的是，即便是中国足协从2018年开始推行球员限薪、俱乐部限投等措施，即便绝大多数球队近两年来的投入已逐步回归理性，但“金元足球”所带来的后遗症依然难以快速消除。武汉长江之后，不排除还有其他中超和中甲球队在新赛季揭幕前退出。

　　中国足球开启职业化改革已超过20年，但至今能够做到自负盈亏的俱乐部依然是凤毛麟角。缺乏科学规划和“造血”功能，一直让中超等国内职业足球联赛受到外界诟病。而一度让职业联赛深受其害的“假赌黑”顽疾沉渣泛起，更是成为中国足球在除弊革新过程中必须要直面和解决的问题。

　　从去年11月26日国足原主教练李铁接受监察调查至今，中国足坛的新一轮扫黑风暴正在持续推进。

　　据媒体报道，在李铁接受调查的过程中，先后有多名前中超或中甲俱乐部的教练及管理人员受到调查。而在1月19日，国家体育总局网站发布消息，中国足协执委、原秘书长刘奕涉嫌严重违法，正接受有关部门监察调查，中国足协常务副秘书长兼国管部部长陈永亮涉嫌严重违纪违法接受审查调查。这表明涉及足协管理层的严重违纪违法事件调查取得重大进展。

　　对此，中国足协迅速召开会议，强调要汲取教训，以案为鉴，反思警醒，加强对足球从业人员管理监督，努力营造风清气正的足球生态。

　　有业内人士表示，新一轮的足坛反腐扫黑工作，是中国足球除弊革新，再次出发的重要契机。“确实到了需要改变的时候。只有真正打造具备科学规划和先进理念的青训体系，以及运转良好成熟的职业联赛，中国足球才有崛起的希望”。

　　新春伊始，沉寂多时的中国足坛，随着中国男足亚运队集训名单的出炉，以及几支国字号青年军的重新集结逐步开启了新征程。但到记者截稿时为止，新赛季中超联赛何时揭幕，中国男足帅位如何调整，中国足协换届工作何时展开等关键问题依然悬而未决。尽快吹响“开场哨”，对于现阶段的中国足球而言至关重要。(李元浩)

　　(来源：工人日报 2023年02月01日 08版)

【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）