“三英战吕布”，看我如何抓出那些流氓APP

“三英战吕布”，看我如何抓出那些流氓APP

在今年互联网凛冬来临的时候，整个圈子却火了一把，互联网众诸侯（头条、王欣、罗永浩）组成“复仇者联盟”纷纷做起了IM，并在同一天发布新产品，不过企鹅帝国深知“星星之火，可以燎原”，三个产品刚问世，企鹅帝国就以“迅雷不及掩耳之势”，凭借强大产品矩阵将其在各个渠道封杀，撕逼大战正式开始。 吃瓜群众一边是感叹腾讯的胸襟，一边是评论新IM的产品体验，突然之间我又看到了一篇自媒体叫“今日”无隐私，“头条”在监控？，突然来了灵感，何不调查一下整个互联网究竟是谁家的APP在监控这大众的隐私。

众多的APP一会申请用户通讯录权限，一会又要申请读取通话记录权限等等，这些申请的权限往往和实现相关功能或获取相关数据有关，究竟我们常用的APP需要申请了多少权限？哪家的APP申请的权限更多？小编我准备对此做一下调查，让大家真正的了解谁才是恶人。

一、开土动工，调研四大派系

江湖传言互联网一直存在BAT（百度、腾讯、阿里）、TMD（头条、美团、滴滴）派系，那么就在TOP1000的APP排行榜单上全部下载这个几个派系的产品，发现其实美团、滴滴派系产品相对四大家族百度、腾讯、阿里、头条较少，那我调研的对象就直接对准四大家族吧，毕竟他们基本代表了中国互联网的发展水平。

腾讯派系：微信、QQ、应用宝、腾讯WiFi管家、手机管家等；

阿里派系：手机淘宝、天猫、UC头条、优酷、支付宝等；

百度派系：百度钱包、百度文库、手机百度、百度网盘、百度地图等；

头条派系：今日头条、抖音、西瓜视频、火山小视频、懂车帝、Faceu激萌、悟空问答等。

二、没有最多，只有更多

在各个APP的AndroidManifest.xml中将申请的权限都提取出来做统计，因为发现自定义的权限实在太多了，所以这里仅过滤了Android原生的权限，然后各取前七名然后做一个排行。

从申请android权限个数来看，腾讯系的APP 应用宝、腾讯WiFi管家、手机管家等均排在前列，申请的android权限数量达到了60~70个权限，而头条系的APP android权限申请数量普遍比较少，今日头条、火山小视频等几乎只有腾讯系前三甲的一半。市面上一些APP往往会申请很多与APP本身功能无关的权限，从而获取更多用户信息或数据，从上图权限申请的情况来看：腾讯还是那么“拔尖”，头条相对其他家，可谓是圈中清流、业界良心。

我将数据做了分类，将一些涉及用户信息(通讯录、短信、通话记录等)的权限标记为敏感权限，做了一个比较直观雷达图，结果似乎出乎意料却又在意料之中。

三、流氓的背后是用户信息的裸奔

App申请了这么多权限但是真的是功能需要吗？于是我搞了一个简单的代码扫描，粗略的扫了一下一些相关的API调用。

1. 获取通讯录联系人

“获取通讯录联系人”相关功能。通过代码扫描发现，将近一半的APP，比如微信、手机管家、腾讯WiFi管家、钱盾、钉钉、菜鸟裹裹、百度地图、百度贴吧等均有获取用户通讯录的行为，以下是通过反编译手机管家APP，发现的代码中读取通讯录相关的代码。

微信、钉钉获取通讯录联系人我们可以理解，手机管家、腾讯WiFi管家、百度地图等需要这个干嘛呢？其实都是利益使然，手机APP调取用户部分隐私信息成为常态现象，通过收集该部分信息也有利于应用为用户提供更好的服务体验。但部分企业的APP对用户权限调取存在疑似越界现象，该种行为对用户隐私造成侵犯，网络隐私不应该成为企业牟利工具。

2. Root提权功能

获取隐私什么的大家估计都快习惯了，所以我想到了一个更加刺激的东西，就是root！为此，我写了一个小程序，就是循环判断是否有进程获取了root权限，然后找了一些朋友，把这东西放到他们手机里边做监控。root权限大家使用的还是比较少的，不会把APP做的跟病毒似的。

最后监控到的APP有：Kingroot、净化大师、腾讯手机管家、Baidu 输入法、百度刷机存在该功能。

root提权是非常有风险的APP行为，一旦提权成功以后，该APP可以进行很多风险操作，如获取其他应用的数据，篡改系统文件，修改系统。

让我比较费解（其实也正常，继承了百度一贯的作风，毕竟我记得三年前百度系应用还留过后门）的是Baidu输入法，居然也会root？而测试的头条系相关的抖音、火山、今日头条等均未有发现有提权相关行为，还是上面的那句话，头条在业界算是良心派系。

四、监管刻不容缓

国家监管部门对于市场上各个APP的权限申请也一直在做各种各样的监管，其目标就是使得APP不要过多地申请与本身功能无关的权限，从而更好地保护用户隐私和用户敏感数据。

2017年颁布实施的《网络安全法》也明确指出“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”，国家也不断的加强监控，但是作为这些巨头互联网在APP开发和发布上也应该严格控制权限的申请，遵守国家规定，用户在使用的时候也应该谨慎授权。

*本文作者：TopSec123，转载请注明来自FreeBuf.COM