在今年互聯(lián)網(wǎng)凜冬來臨的時(shí)候染突,整個(gè)圈子卻火了一把捻爷,互聯(lián)網(wǎng)眾諸侯(頭條、王欣觉痛、羅永浩)組成“復(fù)仇者聯(lián)盟”紛紛做起了IM役衡,并在同一天發(fā)布新產(chǎn)品,不過企鵝帝國深知“星星之火薪棒,可以燎原”手蝎,三個(gè)產(chǎn)品剛問世榕莺,企鵝帝國就以“迅雷不及掩耳之勢”,憑借強(qiáng)大產(chǎn)品矩陣將其在各個(gè)渠道封殺棵介,撕逼大戰(zhàn)正式開始钉鸯。
吃瓜群眾一邊是感嘆騰訊的胸襟,一邊是評論新IM的產(chǎn)品體驗(yàn)邮辽,突然之間我又看到了一篇自媒體叫“今日”無隱私唠雕,“頭條”在監(jiān)控?吨述,突然來了靈感岩睁,何不調(diào)查一下整個(gè)互聯(lián)網(wǎng)究竟是誰家的APP在監(jiān)控這大眾的隱私。
眾多的APP一會申請用戶通訊錄權(quán)限揣云,一會又要申請讀取通話記錄權(quán)限等等捕儒,這些申請的權(quán)限往往和實(shí)現(xiàn)相關(guān)功能或獲取相關(guān)數(shù)據(jù)有關(guān),究竟我們常用的APP需要申請了多少權(quán)限邓夕?哪家的APP申請的權(quán)限更多刘莹?準(zhǔn)備對此做一下調(diào)查,讓大家真正的了解誰才是惡人焚刚。
一点弯、開土動(dòng)工,調(diào)研四大派系
江湖傳言互聯(lián)網(wǎng)一直存在BAT(百度矿咕、騰訊抢肛、阿里)、TMD(頭條痴腌、美團(tuán)雌团、滴滴)派系,那么就在TOP1000的APP排行榜單上全部下載這個(gè)幾個(gè)派系的產(chǎn)品士聪,發(fā)現(xiàn)其實(shí)美團(tuán)锦援、滴滴派系產(chǎn)品相對四大家族百度、騰訊剥悟、阿里灵寺、頭條較少,那我調(diào)研的對象就直接對準(zhǔn)四大家族吧区岗,畢竟他們基本代表了中國互聯(lián)網(wǎng)的發(fā)展水平略板。
騰訊派系:微信、QQ慈缔、應(yīng)用寶叮称、騰訊WiFi管家、手機(jī)管家等;
阿里派系:手機(jī)淘寶瓤檐、天貓赂韵、UC頭條、優(yōu)酷挠蛉、支付寶等祭示;
百度派系:百度錢包、百度文庫谴古、手機(jī)百度质涛、百度網(wǎng)盤、百度地圖等掰担;
頭條派系:今日頭條汇陆、抖音、西瓜視頻恩敌、火山小視頻瞬测、懂車帝、Faceu激萌纠炮、悟空問答等。
二灯蝴、沒有最多恢口,只有更多
在各個(gè)APP的AndroidManifest.xml中將申請的權(quán)限都提取出來做統(tǒng)計(jì),因?yàn)榘l(fā)現(xiàn)自定義的權(quán)限實(shí)在太多了穷躁,所以這里僅過濾了Android原生的權(quán)限耕肩,然后各取前七名然后做一個(gè)排行。
從申請android權(quán)限個(gè)數(shù)來看问潭,騰訊系的APP 應(yīng)用寶猿诸、騰訊WiFi管家、手機(jī)管家等均排在前列狡忙,申請的android權(quán)限數(shù)量達(dá)到了60~70個(gè)權(quán)限梳虽,而頭條系的APP android權(quán)限申請數(shù)量普遍比較少,今日頭條灾茁、火山小視頻等幾乎只有騰訊系前三甲的一半窜觉。市面上一些APP往往會申請很多與APP本身功能無關(guān)的權(quán)限,從而獲取更多用戶信息或數(shù)據(jù)北专,從上圖權(quán)限申請的情況來看:騰訊還是那么“拔尖”禀挫,頭條相對其他家,可謂是圈中清流拓颓、業(yè)界良心语婴。
我將數(shù)據(jù)做了分類,將一些涉及用戶信息(通訊錄、短信砰左、通話記錄等)的權(quán)限標(biāo)記為敏感權(quán)限画拾,做了一個(gè)比較直觀雷達(dá)圖,結(jié)果似乎出乎意料卻又在意料之中菜职。
三青抛、流氓的背后是用戶信息的裸奔
App申請了這么多權(quán)限但是真的是功能需要嗎?于是我搞了一個(gè)簡單的代碼掃描酬核,粗略的掃了一下一些相關(guān)的API調(diào)用蜜另。
1. 獲取通訊錄聯(lián)系人
“獲取通訊錄聯(lián)系人”相關(guān)功能。通過代碼掃描發(fā)現(xiàn)嫡意,將近一半的APP举瑰,比如微信、手機(jī)管家蔬螟、騰訊WiFi管家此迅、錢盾、釘釘旧巾、菜鳥裹裹耸序、百度地圖、百度貼吧等均有獲取用戶通訊錄的行為鲁猩,以下是通過反編譯手機(jī)管家APP坎怪,發(fā)現(xiàn)的代碼中讀取通訊錄相關(guān)的代碼。
微信廓握、釘釘獲取通訊錄聯(lián)系人我們可以理解搅窿,手機(jī)管家、騰訊WiFi管家隙券、百度地圖等需要這個(gè)干嘛呢男应?其實(shí)都是利益使然,手機(jī)APP調(diào)取用戶部分隱私信息成為常態(tài)現(xiàn)象娱仔,通過收集該部分信息也有利于應(yīng)用為用戶提供更好的服務(wù)體驗(yàn)沐飘。但部分企業(yè)的APP對用戶權(quán)限調(diào)取存在疑似越界現(xiàn)象,該種行為對用戶隱私造成侵犯拟枚,網(wǎng)絡(luò)隱私不應(yīng)該成為企業(yè)牟利工具薪铜。
2. Root提權(quán)功能
獲取隱私什么的大家估計(jì)都快習(xí)慣了,所以我想到了一個(gè)更加刺激的東西恩溅,就是root隔箍!為此,我寫了一個(gè)小程序脚乡,就是循環(huán)判斷是否有進(jìn)程獲取了root權(quán)限蜒滩,然后找了一些朋友滨达,把這東西放到他們手機(jī)里邊做監(jiān)控。root權(quán)限大家使用的還是比較少的俯艰,不會把APP做的跟病毒似的捡遍。
最后監(jiān)控到的APP有:Kingroot、凈化大師竹握、騰訊手機(jī)管家画株、Baidu 輸入法、百度刷機(jī)存在該功能啦辐。
root提權(quán)是非常有風(fēng)險(xiǎn)的APP行為谓传,一旦提權(quán)成功以后,該APP可以進(jìn)行很多風(fēng)險(xiǎn)操作芹关,如獲取其他應(yīng)用的數(shù)據(jù)续挟,篡改系統(tǒng)文件,修改系統(tǒng)侥衬。
我比較費(fèi)解(其實(shí)也正常诗祸,繼承了百度一貫的作風(fēng),畢竟我記得三年前百度系應(yīng)用還留過后門)的是Baidu輸入法轴总,居然也會root直颅?而測試的頭條系相關(guān)的抖音、火山肘习、今日頭條等均未有發(fā)現(xiàn)有提權(quán)相關(guān)行為际乘,還是上面的那句話,頭條在業(yè)界算是良心派系漂佩。
四、監(jiān)管刻不容緩
國家監(jiān)管部門對于市場上各個(gè)APP的權(quán)限申請也一直在做各種各樣的監(jiān)管罪塔,其目標(biāo)就是使得APP不要過多地申請與本身功能無關(guān)的權(quán)限投蝉,從而更好地保護(hù)用戶隱私和用戶敏感數(shù)據(jù)。
2017年頒布實(shí)施的《網(wǎng)絡(luò)安全法》也明確指出“網(wǎng)絡(luò)產(chǎn)品征堪、服務(wù)具有收集用戶信息功能的瘩缆,其提供者應(yīng)當(dāng)向用戶明示并取得同意;涉及用戶個(gè)人信息的佃蚜,還應(yīng)當(dāng)遵守本法和有關(guān)法律庸娱、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定”,國家也不斷的加強(qiáng)監(jiān)控谐算,但是作為這些巨頭互聯(lián)網(wǎng)在APP開發(fā)和發(fā)布上也應(yīng)該嚴(yán)格控制權(quán)限的申請熟尉,遵守國家規(guī)定,用戶在使用的時(shí)候也應(yīng)該謹(jǐn)慎授權(quán)洲脂。
五斤儿、總結(jié)
不管你玩不玩手機(jī),以后你都會接觸到,盡量少授權(quán)一些不正規(guī)的軟件往果,導(dǎo)致自己的個(gè)人信息被不法分子盜用疆液,損害到自己的利益是非常嚴(yán)重的。
多學(xué)習(xí)網(wǎng)絡(luò)安全問題陕贮,能避免很多悲劇發(fā)生6橛汀!肮之!特別是有些同學(xué)喜歡玩手機(jī)游戲掉缺,棋牌游戲,那就要多注意了局骤。
