在今年互聯(lián)網(wǎng)凜冬來臨的時候,整個圈子卻火了一把,互聯(lián)網(wǎng)眾諸侯(頭條、王欣、羅永浩)組成“復仇者聯(lián)盟”紛紛做起了IM,并在同一天發(fā)布新產(chǎn)品,不過企鵝帝國深知“星星之火,可以燎原”,三個產(chǎn)品剛問世,企鵝帝國就以“迅雷不及掩耳之勢”,憑借強大產(chǎn)品矩陣將其在各個渠道封殺,撕逼大戰(zhàn)正式開始。
吃瓜群眾一邊是感嘆騰訊的胸襟,一邊是評論新IM的產(chǎn)品體驗,突然之間我又看到了一篇自媒體叫“今日”無隱私,“頭條”在監(jiān)控?,突然來了靈感,何不調(diào)查一下整個互聯(lián)網(wǎng)究竟是誰家的APP在監(jiān)控這大眾的隱私。
眾多的APP一會申請用戶通訊錄權限,一會又要申請讀取通話記錄權限等等,這些申請的權限往往和實現(xiàn)相關功能或獲取相關數(shù)據(jù)有關,究竟我們常用的APP需要申請了多少權限?哪家的APP申請的權限更多?小編我準備對此做一下調(diào)查,讓大家真正的了解誰才是惡人。
一、開土動工,調(diào)研四大派系
江湖傳言互聯(lián)網(wǎng)一直存在BAT(百度、騰訊、阿里)、TMD(頭條、美團、滴滴)派系,那么就在TOP1000的APP排行榜單上全部下載這個幾個派系的產(chǎn)品,發(fā)現(xiàn)其實美團、滴滴派系產(chǎn)品相對四大家族百度、騰訊、阿里、頭條較少,那我調(diào)研的對象就直接對準四大家族吧,畢竟他們基本代表了中國互聯(lián)網(wǎng)的發(fā)展水平。
騰訊派系: 微信、QQ、應用寶、騰訊WiFi管家、手機管家等;
阿里派系: 手機淘寶、天貓、UC頭條、優(yōu)酷、支付寶等;
百度派系: 百度錢包、百度文庫、手機百度、百度網(wǎng)盤、百度地圖等;
頭條派系: 今日頭條、抖音、西瓜視頻、火山小視頻、懂車帝、Faceu激萌、悟空問答等。
二、沒有最多,只有更多
在各個APP的AndroidManifest.xml中將申請的權限都提取出來做統(tǒng)計,因為發(fā)現(xiàn)自定義的權限實在太多了,所以這里僅過濾了Android原生的權限,然后各取前七名然后做一個排行。
從申請android權限個數(shù)來看,騰訊系的APP 應用寶、騰訊WiFi管家、手機管家等均排在前列,申請的android權限數(shù)量達到了60~70個權限,而頭條系的APP android權限申請數(shù)量普遍比較少,今日頭條、火山小視頻等幾乎只有騰訊系前三甲的一半。市面上一些APP往往會申請很多與APP本身功能無關的權限,從而獲取更多用戶信息或數(shù)據(jù),從上圖權限申請的情況來看:騰訊還是那么“拔尖”,頭條相對其他家,可謂是圈中清流、業(yè)界良心。
我將數(shù)據(jù)做了分類,將一些涉及用戶信息(通訊錄、短信、通話記錄等)的權限標記為敏感權限,做了一個比較直觀雷達圖,結果似乎出乎意料卻又在意料之中。
三、流氓的背后是用戶信息的裸奔
App申請了這么多權限但是真的是功能需要嗎?于是我搞了一個簡單的代碼掃描,粗略的掃了一下一些相關的API調(diào)用。
1. 獲取通訊錄聯(lián)系人
“獲取通訊錄聯(lián)系人”相關功能。通過代碼掃描發(fā)現(xiàn),將近一半的APP,比如微信、手機管家、騰訊WiFi管家、錢盾、釘釘、菜鳥裹裹、百度地圖、百度貼吧等均有獲取用戶通訊錄的行為,以下是通過反編譯手機管家APP,發(fā)現(xiàn)的代碼中讀取通訊錄相關的代碼。
微信、釘釘獲取通訊錄聯(lián)系人我們可以理解,手機管家、騰訊WiFi管家、百度地圖等需要這個干嘛呢?其實都是利益使然,手機APP調(diào)取用戶部分隱私信息成為常態(tài)現(xiàn)象,通過收集該部分信息也有利于應用為用戶提供更好的服務體驗。但部分企業(yè)的APP對用戶權限調(diào)取存在疑似越界現(xiàn)象,該種行為對用戶隱私造成侵犯,網(wǎng)絡隱私不應該成為企業(yè)牟利工具。
2. Root提權功能
獲取隱私什么的大家估計都快習慣了,所以我想到了一個更加刺激的東西,就是root!為此,我寫了一個小程序,就是循環(huán)判斷是否有進程獲取了root權限,然后找了一些朋友,把這東西放到他們手機里邊做監(jiān)控。root權限大家使用的還是比較少的,不會把APP做的跟病毒似的。
最后監(jiān)控到的APP有:Kingroot、凈化大師、騰訊手機管家、Baidu 輸入法、百度刷機存在該功能。
root提權是非常有風險的APP行為,一旦提權成功以后,該APP可以進行很多風險操作,如獲取其他應用的數(shù)據(jù),篡改系統(tǒng)文件,修改系統(tǒng)。
讓我比較費解(其實也正常,繼承了百度一貫的作風,畢竟我記得三年前百度系應用還留過后門)的是Baidu輸入法,居然也會root?而測試的頭條系相關的抖音、火山、今日頭條等均未有發(fā)現(xiàn)有提權相關行為,還是上面的那句話,頭條在業(yè)界算是良心派系。
四、監(jiān)管刻不容緩
國家監(jiān)管部門對于市場上各個APP的權限申請也一直在做各種各樣的監(jiān)管,其目標就是使得APP不要過多地申請與本身功能無關的權限,從而更好地保護用戶隱私和用戶敏感數(shù)據(jù)。
2017年頒布實施的《網(wǎng)絡安全法》也明確指出“網(wǎng)絡產(chǎn)品、服務具有收集用戶信息功能的,其提供者應當向用戶明示并取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定”,國家也不斷的加強監(jiān)控,但是作為這些巨頭互聯(lián)網(wǎng)在APP開發(fā)和發(fā)布上也應該嚴格控制權限的申請,遵守國家規(guī)定,用戶在使用的時候也應該謹慎授權。
*本文作者:TopSec123,轉載請注明來自FreeBuf.COM
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!