當前位置:
首頁 > 新聞 > 「三英戰呂布」,看我如何抓出那些流氓APP

「三英戰呂布」,看我如何抓出那些流氓APP

新聞 02-11

在今年互聯網凜冬來臨的時候,整個圈子卻火了一把,互聯網眾諸侯(頭條、王欣、羅永浩)組成「復仇者聯盟」紛紛做起了IM,並在同一天發布新產品,不過企鵝帝國深知「星星之火,可以燎原」,三個產品剛問世,企鵝帝國就以「迅雷不及掩耳之勢」,憑藉強大產品矩陣將其在各個渠道封殺,撕逼大戰正式開始。


吃瓜群眾一邊是感嘆騰訊的胸襟,一邊是評論新IM的產品體驗,突然之間我又看到了一篇自媒體叫「今日」無隱私,「頭條」在監控?,突然來了靈感,何不調查一下整個互聯網究竟是誰家的APP在監控這大眾的隱私。

眾多的APP一會申請用戶通訊錄許可權,一會又要申請讀取通話記錄許可權等等,這些申請的許可權往往和實現相關功能或獲取相關數據有關,究竟我們常用的APP需要申請了多少許可權?哪家的APP申請的許可權更多?小編我準備對此做一下調查,讓大家真正的了解誰才是惡人。


一、開土動工,調研四大派系


江湖傳言互聯網一直存在BAT(百度、騰訊、阿里)、TMD(頭條、美團、滴滴)派系,那麼就在TOP1000的APP排行榜單上全部下載這個幾個派系的產品,發現其實美團、滴滴派系產品相對四大家族百度、騰訊、阿里、頭條較少,那我調研的對象就直接對準四大家族吧,畢竟他們基本代表了中國互聯網的發展水平。


騰訊派系:

微信、QQ、應用寶、騰訊WiFi管家、手機管家等;


阿里派系:

手機淘寶、天貓、UC頭條、優酷、支付寶等;


百度派系:

百度錢包、百度文庫、手機百度、百度網盤、百度地圖等;

頭條派系:

今日頭條、抖音、西瓜視頻、火山小視頻、懂車帝、Faceu激萌、悟空問答等。


二、沒有最多,只有更多


在各個APP的AndroidManifest.xml中將申請的許可權都提取出來做統計,因為發現自定義的許可權實在太多了,所以這裡僅過濾了Android原生的許可權,然後各取前七名然後做一個排行。


從申請android許可權個數來看,騰訊系的APP 應用寶、騰訊WiFi管家、手機管家等均排在前列,申請的android許可權數量達到了60~70個許可權,而頭條系的APP android許可權申請數量普遍比較少,今日頭條、火山小視頻等幾乎只有騰訊系前三甲的一半。市面上一些APP往往會申請很多與APP本身功能無關的許可權,從而獲取更多用戶信息或數據,從上圖許可權申請的情況來看:騰訊還是那麼「拔尖」,頭條相對其他家,可謂是圈中清流、業界良心。



我將數據做了分類,將一些涉及用戶信息(通訊錄、簡訊、通話記錄等)的許可權標記為敏感許可權,做了一個比較直觀雷達圖,結果似乎出乎意料卻又在意料之中。


三、流氓的背後是用戶信息的裸奔

App申請了這麼多許可權但是真的是功能需要嗎?於是我搞了一個簡單的代碼掃描,粗略的掃了一下一些相關的API調用。


1. 獲取通訊錄聯繫人


「獲取通訊錄聯繫人」相關功能。通過代碼掃描發現,將近一半的APP,比如微信、手機管家、騰訊WiFi管家、錢盾、釘釘、菜鳥裹裹、百度地圖、百度貼吧等均有獲取用戶通訊錄的行為,以下是通過反編譯手機管家APP,發現的代碼中讀取通訊錄相關的代碼。



微信、釘釘獲取通訊錄聯繫人我們可以理解,手機管家、騰訊WiFi管家、百度地圖等需要這個幹嘛呢?其實都是利益使然,手機APP調取用戶部分隱私信息成為常態現象,通過收集該部分信息也有利於應用為用戶提供更好的服務體驗。但部分企業的APP對用戶許可權調取存在疑似越界現象,該種行為對用戶隱私造成侵犯,網路隱私不應該成為企業牟利工具。


2. Root提權功能


獲取隱私什麼的大家估計都快習慣了,所以我想到了一個更加刺激的東西,就是root!為此,我寫了一個小程序,就是循環判斷是否有進程獲取了root許可權,然後找了一些朋友,把這東西放到他們手機裡邊做監控。root許可權大家使用的還是比較少的,不會把APP做的跟病毒似的。


最後監控到的APP有:Kingroot、凈化大師、騰訊手機管家、Baidu 輸入法、百度刷機存在該功能。



root提權是非常有風險的APP行為,一旦提權成功以後,該APP可以進行很多風險操作,如獲取其他應用的數據,篡改系統文件,修改系統。


讓我比較費解(其實也正常,繼承了百度一貫的作風,畢竟我記得三年前百度系應用還留過後門)的是Baidu輸入法,居然也會root?而測試的頭條系相關的抖音、火山、今日頭條等均未有發現有提權相關行為,還是上面的那句話,頭條在業界算是良心派系。


四、監管刻不容緩


國家監管部門對於市場上各個APP的許可權申請也一直在做各種各樣的監管,其目標就是使得APP不要過多地申請與本身功能無關的許可權,從而更好地保護用戶隱私和用戶敏感數據。


2017年頒布實施的《網路安全法》也明確指出「網路產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定」,國家也不斷的加強監控,但是作為這些巨頭互聯網在APP開發和發布上也應該嚴格控制許可權的申請,遵守國家規定,用戶在使用的時候也應該謹慎授權。


*本文作者:TopSec123,轉載請註明來自FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

教你如何開發不可檢測的C#、C++反向Shell
新型詐騙花樣多,使用多種混淆方法繞過安全檢測

TAG:FreeBuf |