當(dāng)前位置:首頁(yè) >  科技 >  移動(dòng)互聯(lián) >  正文

三英戰(zhàn)呂布”,看我如何抓出那些流氓APP

 2019-02-11 16:04  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

在今年互聯(lián)網(wǎng)凜冬來(lái)臨的時(shí)候,整個(gè)圈子卻火了一把,互聯(lián)網(wǎng)眾諸侯(頭條、王欣、羅永浩)組成“復(fù)仇者聯(lián)盟”紛紛做起了IM,并在同一天發(fā)布新產(chǎn)品,不過(guò)企鵝帝國(guó)深知“星星之火,可以燎原”,三個(gè)產(chǎn)品剛問(wèn)世,企鵝帝國(guó)就以“迅雷不及掩耳之勢(shì)”,憑借強(qiáng)大產(chǎn)品矩陣將其在各個(gè)渠道封殺,撕逼大戰(zhàn)正式開(kāi)始。

吃瓜群眾一邊是感嘆騰訊的胸襟,一邊是評(píng)論新IM的產(chǎn)品體驗(yàn),突然之間我又看到了一篇自媒體叫“今日”無(wú)隱私,“頭條”在監(jiān)控?,突然來(lái)了靈感,何不調(diào)查一下整個(gè)互聯(lián)網(wǎng)究竟是誰(shuí)家的APP在監(jiān)控這大眾的隱私。

眾多的APP一會(huì)申請(qǐng)用戶通訊錄權(quán)限,一會(huì)又要申請(qǐng)讀取通話記錄權(quán)限等等,這些申請(qǐng)的權(quán)限往往和實(shí)現(xiàn)相關(guān)功能或獲取相關(guān)數(shù)據(jù)有關(guān),究竟我們常用的APP需要申請(qǐng)了多少權(quán)限?哪家的APP申請(qǐng)的權(quán)限更多?小編我準(zhǔn)備對(duì)此做一下調(diào)查,讓大家真正的了解誰(shuí)才是惡人。

一、開(kāi)土動(dòng)工,調(diào)研四大派系

江湖傳言互聯(lián)網(wǎng)一直存在BAT(百度、騰訊、阿里)、TMD(頭條、美團(tuán)、滴滴)派系,那么就在TOP1000的APP排行榜單上全部下載這個(gè)幾個(gè)派系的產(chǎn)品,發(fā)現(xiàn)其實(shí)美團(tuán)、滴滴派系產(chǎn)品相對(duì)四大家族百度、騰訊、阿里、頭條較少,那我調(diào)研的對(duì)象就直接對(duì)準(zhǔn)四大家族吧,畢竟他們基本代表了中國(guó)互聯(lián)網(wǎng)的發(fā)展水平。

騰訊派系: 微信、QQ、應(yīng)用寶、騰訊WiFi管家、手機(jī)管家等;

阿里派系: 手機(jī)淘寶、天貓、UC頭條、優(yōu)酷、支付寶等;

百度派系: 百度錢包、百度文庫(kù)、手機(jī)百度、百度網(wǎng)盤、百度地圖等;

頭條派系: 今日頭條、抖音、西瓜視頻、火山小視頻、懂車帝、Faceu激萌、悟空問(wèn)答等。

二、沒(méi)有最多,只有更多

在各個(gè)APP的AndroidManifest.xml中將申請(qǐng)的權(quán)限都提取出來(lái)做統(tǒng)計(jì),因?yàn)榘l(fā)現(xiàn)自定義的權(quán)限實(shí)在太多了,所以這里僅過(guò)濾了Android原生的權(quán)限,然后各取前七名然后做一個(gè)排行。

從申請(qǐng)android權(quán)限個(gè)數(shù)來(lái)看,騰訊系的APP 應(yīng)用寶、騰訊WiFi管家、手機(jī)管家等均排在前列,申請(qǐng)的android權(quán)限數(shù)量達(dá)到了60~70個(gè)權(quán)限,而頭條系的APP android權(quán)限申請(qǐng)數(shù)量普遍比較少,今日頭條、火山小視頻等幾乎只有騰訊系前三甲的一半。市面上一些APP往往會(huì)申請(qǐng)很多與APP本身功能無(wú)關(guān)的權(quán)限,從而獲取更多用戶信息或數(shù)據(jù),從上圖權(quán)限申請(qǐng)的情況來(lái)看:騰訊還是那么“拔尖”,頭條相對(duì)其他家,可謂是圈中清流、業(yè)界良心。

我將數(shù)據(jù)做了分類,將一些涉及用戶信息(通訊錄、短信、通話記錄等)的權(quán)限標(biāo)記為敏感權(quán)限,做了一個(gè)比較直觀雷達(dá)圖,結(jié)果似乎出乎意料卻又在意料之中。

三、流氓的背后是用戶信息的裸奔

App申請(qǐng)了這么多權(quán)限但是真的是功能需要嗎?于是我搞了一個(gè)簡(jiǎn)單的代碼掃描,粗略的掃了一下一些相關(guān)的API調(diào)用。

1. 獲取通訊錄聯(lián)系人

“獲取通訊錄聯(lián)系人”相關(guān)功能。通過(guò)代碼掃描發(fā)現(xiàn),將近一半的APP,比如微信、手機(jī)管家、騰訊WiFi管家、錢盾、釘釘、菜鳥(niǎo)裹裹、百度地圖、百度貼吧等均有獲取用戶通訊錄的行為,以下是通過(guò)反編譯手機(jī)管家APP,發(fā)現(xiàn)的代碼中讀取通訊錄相關(guān)的代碼。

微信、釘釘獲取通訊錄聯(lián)系人我們可以理解,手機(jī)管家、騰訊WiFi管家、百度地圖等需要這個(gè)干嘛呢?其實(shí)都是利益使然,手機(jī)APP調(diào)取用戶部分隱私信息成為常態(tài)現(xiàn)象,通過(guò)收集該部分信息也有利于應(yīng)用為用戶提供更好的服務(wù)體驗(yàn)。但部分企業(yè)的APP對(duì)用戶權(quán)限調(diào)取存在疑似越界現(xiàn)象,該種行為對(duì)用戶隱私造成侵犯,網(wǎng)絡(luò)隱私不應(yīng)該成為企業(yè)牟利工具。

2. Root提權(quán)功能

獲取隱私什么的大家估計(jì)都快習(xí)慣了,所以我想到了一個(gè)更加刺激的東西,就是root!為此,我寫了一個(gè)小程序,就是循環(huán)判斷是否有進(jìn)程獲取了root權(quán)限,然后找了一些朋友,把這東西放到他們手機(jī)里邊做監(jiān)控。root權(quán)限大家使用的還是比較少的,不會(huì)把APP做的跟病毒似的。

最后監(jiān)控到的APP有:Kingroot、凈化大師、騰訊手機(jī)管家、Baidu 輸入法、百度刷機(jī)存在該功能。

root提權(quán)是非常有風(fēng)險(xiǎn)的APP行為,一旦提權(quán)成功以后,該APP可以進(jìn)行很多風(fēng)險(xiǎn)操作,如獲取其他應(yīng)用的數(shù)據(jù),篡改系統(tǒng)文件,修改系統(tǒng)。

讓我比較費(fèi)解(其實(shí)也正常,繼承了百度一貫的作風(fēng),畢竟我記得三年前百度系應(yīng)用還留過(guò)后門)的是Baidu輸入法,居然也會(huì)root?而測(cè)試的頭條系相關(guān)的抖音、火山、今日頭條等均未有發(fā)現(xiàn)有提權(quán)相關(guān)行為,還是上面的那句話,頭條在業(yè)界算是良心派系。

四、監(jiān)管刻不容緩

國(guó)家監(jiān)管部門對(duì)于市場(chǎng)上各個(gè)APP的權(quán)限申請(qǐng)也一直在做各種各樣的監(jiān)管,其目標(biāo)就是使得APP不要過(guò)多地申請(qǐng)與本身功能無(wú)關(guān)的權(quán)限,從而更好地保護(hù)用戶隱私和用戶敏感數(shù)據(jù)。

2017年頒布實(shí)施的《網(wǎng)絡(luò)安全法》也明確指出“網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當(dāng)向用戶明示并取得同意;涉及用戶個(gè)人信息的,還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定”,國(guó)家也不斷的加強(qiáng)監(jiān)控,但是作為這些巨頭互聯(lián)網(wǎng)在APP開(kāi)發(fā)和發(fā)布上也應(yīng)該嚴(yán)格控制權(quán)限的申請(qǐng),遵守國(guó)家規(guī)定,用戶在使用的時(shí)候也應(yīng)該謹(jǐn)慎授權(quán)。

*本文作者:TopSec123,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦