警察蜀黍,这有个装正经又不正经的App!

2019 年 1 月 7 日 宅客频道

先说一个悲伤的故事。

有一天,小明跟爸爸说,爸,我要搞学习,需要下载一个报名补习班的App。然后,小明装模作样地用爸爸的手机下载了一个正经App,然后打开了一些不可描述的网站,偷偷进行成人知识储备,最后,他默默清除了浏览记录,放心地把手机还给了爸爸。

不料,那天深夜,爸妈的房间传来一阵争吵,爸爸抽着烟坐在沙发上,一脸委屈:为什么不相信我呢。

原来,爸爸收到了一条短信:先生,在XXX网上的体验还好吗?我们最近有个XXX新产品,让你“更高、不快、更强”。

你以为是不可描述的网站出卖了无辜的小明爸爸?不,是那个一本正经的App。

让人后背发凉的是,这不是故事,这可能是事实。

装作一本正经干些不正经事情的,还有这个天气App。

▲LOOK,就是这货!

1月4日,《华尔街日报》称,名为“天气预报-世界天气精准雷达( Weather Forecast - World Weather Accurate Radar)”的免费应用被发现窃取用户数据信息,这些信息包括地理位置、电子邮件地址和用户移动设备的唯一标识号。

“但凡是个手机,装个天气APP简直再正常不过了。然而现如今查个天气预报个人信息就有可能到了你从未谋面过的陌生人手里,还不知道会被用来干些神马事,你说可怕不可怕?”

为什么一个正经App 会变得不正经?下面编辑来探讨一下这个话题。

首先,原本一个天然无公害的天气App真能绕开权限通知,自动获取用户的数据信息吗?它是怎么操作的?

显然,除过那些突破root权限获取手机最高权限的病毒之外,几乎所有的权限开关都是由用户来确定开启与否的。

以Android6.0系统为风水岭,权限只是从台后走到了前台。原来,在MarshMallow之前,权限都是在安装时授予的。在6.0之后,Google为了简化安装流程且方便用户控制权限,正式引入了runtime-permission,允许用户在运行的时候动态控制权限。

先来科普一下,runtime-permission究竟是个什么鬼:

实际上,这是Android6.0新引进的权限管理方式。在该系统中,谷歌摒弃了之前的install time permissions model,取而代之的是runtime permissions model。显然,从前面这句话基本看不出这俩货的区别是啥,不过机智的宅客频道决定用两张图给大家举个栗子,保证秒懂:

▲install time permissions model

▲runtime permissions model

没错,install time permissions model会在Android App安装的时候向用户展示一坨权限。相比之下,runtime permissions model也会在安装APP时跳出权限请求,但这并不意味着重要权限也一起被授权给应用,在用户实际使用某项功能时仍需要应用主动申请这些高风险权限。而在这之前,一次授权过后权限就全部被开启,其安全系数也只能是在优先“阵亡”的级别。

爱加密解决方案总监魏超告诉宅客频道编辑,这种获取天气App权限之外操作又称为 “过度获取”。

他说:“国内在2017年初出台了《个人信息安全规范》以及《数据安全管理办法》,其中对如何界定由过度获取权限导致用户信息泄露给出了明确说明——如果你的App只是在未告知用户的情况下获取了额外信息,这个叫过度获取;在相关法律法规中,这并不能被算作窃取行为,开发商也基本不需要承担过多责任。”

为了更好地解释,我们举个栗子——假如你下载了一个地图App,常规软件只需获取你的地理位置信息,而在用户需知中也只提到了这一点。但是,实际上它还获取了你的邮箱、姓名乃至家庭住址,而你却还傻乎乎被蒙在鼓里。

那这行为算窃取吗?

抱歉,不算。所谓窃取用户信息的行为,要看厂商拿你的信息做了些啥事。如果只是为了App的某项业务做分析,那就无关紧要;如果是为了卖人贩子或者支持美国大选,那就一定会被警察叔叔当场拿下。

过度采集用户信息只是一个“前端”过程,相关的法律法规并不以此来判定厂商是否属于窃取行为,而是看“结果”怎样,也就是信息有没有被用作营利活动或是被出售。

目前来看,纰漏此次事件的Upstream Systems和该App开发商TCL也是各执其词:

前者认为,这款软件收集了超过常规范围内的用户信息数据,并以此为阿尔卡特智能手机的10万多用户提供付费的虚拟现实服务,这种隐晦的做法可能导致用户被迫支付超过150万美元的费用。后者则称,该款App在上线前经过超70种不同的杀毒扫描来检查每款App,以确保它们符合Google Play商店要求的安全级别。直接明了的说,意思就是这些信息绝对不会被滥用。

所以,这款天气App软件是否窃取了用户数据信息呢?

如果一个人和一箱黄金共处一室,给他一晚的时间,事后也不检查箱子里的黄金数量,直接放他出门,那么,拿没拿黄金,就只能看他的良心了。对于这种“过度获取”的行为,相关监管部门也仅仅是进行合法性要求授权同意或者暂时限制获取权限。

围绕着权限选项,厂商们用一个如今已经烂大街的点子来“挑选顾客”。权限选项就像个“大筛子”一样,“你不同意,那就不是我的菜,也别想使用我的App!”,更甚者有的App直接弹出些诱导信息,它们长得和权限选项一模一样,却夹杂其中浑水摸鱼。

魏超透露,一些初期的App发布者原本就是通过初期的免费获得大量用户,然后通过相应的信息流和数据流做广告服务以及其他的信息推送或者是一些比较低端的擦边球的数据信息来支撑App的运营。

“对于中小企业来说,想要生存的唯一办法就是拼命获取用户数据,描摹用户画像。在以商业目的为原动力的情况下,行业整体的发展趋势才是造成用户各项权限被无故获取的真实原因。”

那么,如何避免权限被过度获取的情况出现?

宅客频道归纳了以下几种控制权限的方式:

1、AppOps 4.3以上系统的原生权限控制(目前官方的Android系统还未开放这项功能,需要用XPrivacy工具开启);

2、第三方应用。也就是LBE、360这一类手机助手,它们的使用门槛最低,缺点在于提供的选项比较单一、效率较低;

3、强行吊销应用权限。包括修改apk文件和CM系统自带的权限管理。效率最高,但容易导致闪退;

4、XPrivacy。基于Xposed框架,直接从虚拟机层面进行操作,其效率高于第一类应用,具有丰富具体的选项,还可以用伪造数据等方法确保应用稳定运行。

如果上述专业建议你看不懂,没关系,还可以谨守一个原则——免费的服务还是要谨慎一些,使用免费服务的时候,你就是商品本身。

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 程序媛以图搜图

心脏滴血 撞库攻击 | 黑客猎人

刷票 | 人肉 | 炸群 | 内鬼

恶性病毒怼天怼地怼对手


真相篇

这是一场针对高级知识分子的裸聊诈骗

打“农药”刷金币:我的队友原来是个机器人

黑客犯罪团伙"隐匿者"被扒皮,竟然是中国人

iPhone充电器可以当监听器?我到某宝试了下

当俄罗斯黑客遇到老虎机 发家致富

一个自动挖掘工具,能找到比核武器更可怕的漏洞

“老婆,开门”,隔壁老王带来的恐惧

无人机越狱? 资深女黑客一怒“打飞机”

自从安了智能门锁,家里闹妖精?

中国安全圈真实薪资曝光


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

世界上最坚固的门轰塌后,如何再建

这个黑客在体内植入9块芯片后……

更多精彩正在整理中……


---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


登录查看更多
0

相关内容

ACM/IEEE第23届模型驱动工程语言和系统国际会议,是模型驱动软件和系统工程的首要会议系列,由ACM-SIGSOFT和IEEE-TCSE支持组织。自1998年以来,模型涵盖了建模的各个方面,从语言和方法到工具和应用程序。模特的参加者来自不同的背景,包括研究人员、学者、工程师和工业专业人士。MODELS 2019是一个论坛,参与者可以围绕建模和模型驱动的软件和系统交流前沿研究成果和创新实践经验。今年的版本将为建模社区提供进一步推进建模基础的机会,并在网络物理系统、嵌入式系统、社会技术系统、云计算、大数据、机器学习、安全、开源等新兴领域提出建模的创新应用以及可持续性。 官网链接:http://www.modelsconference.org/
少标签数据学习,54页ppt
专知会员服务
196+阅读 · 2020年5月22日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
专知会员服务
87+阅读 · 2020年1月20日
可解释推荐:综述与新视角
专知会员服务
111+阅读 · 2019年10月13日
手把手教你用Python做一个哄女友神器,小白可上手
网易智能菌
5+阅读 · 2019年6月15日
7 款实用到哭的App,只说一遍
高效率工具搜罗
84+阅读 · 2019年4月30日
7 个从来没推荐过的App,用了让你变得更厉害
高效率工具搜罗
9+阅读 · 2019年2月18日
已删除
AI科技评论
4+阅读 · 2018年8月12日
手把手教你用Python创建微信聊天机器人
新智元
4+阅读 · 2018年3月14日
Python除了不会生孩子,什么都会
算法与数学之美
3+阅读 · 2017年11月8日
共享单车惨遭共享:一款App能骑9种车到底是啥神器?
黑客技术与网络安全
4+阅读 · 2017年7月6日
OCR 哪家强?反正我觉得这个工具是厉害的不得了。
高效率工具搜罗
4+阅读 · 2017年7月3日
Arxiv
6+阅读 · 2018年10月3日
Next Item Recommendation with Self-Attention
Arxiv
5+阅读 · 2018年8月25日
Arxiv
3+阅读 · 2018年4月3日
VIP会员
相关VIP内容
少标签数据学习,54页ppt
专知会员服务
196+阅读 · 2020年5月22日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
专知会员服务
87+阅读 · 2020年1月20日
可解释推荐:综述与新视角
专知会员服务
111+阅读 · 2019年10月13日
相关资讯
手把手教你用Python做一个哄女友神器,小白可上手
网易智能菌
5+阅读 · 2019年6月15日
7 款实用到哭的App,只说一遍
高效率工具搜罗
84+阅读 · 2019年4月30日
7 个从来没推荐过的App,用了让你变得更厉害
高效率工具搜罗
9+阅读 · 2019年2月18日
已删除
AI科技评论
4+阅读 · 2018年8月12日
手把手教你用Python创建微信聊天机器人
新智元
4+阅读 · 2018年3月14日
Python除了不会生孩子,什么都会
算法与数学之美
3+阅读 · 2017年11月8日
共享单车惨遭共享:一款App能骑9种车到底是啥神器?
黑客技术与网络安全
4+阅读 · 2017年7月6日
OCR 哪家强?反正我觉得这个工具是厉害的不得了。
高效率工具搜罗
4+阅读 · 2017年7月3日
Top
微信扫码咨询专知VIP会员