“三英战吕布”,看我如何抓出那些流氓APP

标签: 数据安全 终端安全 观点 微信 数据泄露 | 发表时间:2019-02-09 09:00 | 作者:TopSec123
出处:https://www.freebuf.com

“三英战吕布”,看我如何抓出那些流氓APP

在今年互联网凛冬来临的时候,整个圈子却火了一把,互联网众诸侯(头条、王欣、罗永浩)组成“复仇者联盟”纷纷做起了IM,并在同一天发布新产品,不过企鹅帝国深知“星星之火,可以燎原”,三个产品刚问世,企鹅帝国就以“迅雷不及掩耳之势”,凭借强大产品矩阵将其在各个渠道封杀,撕逼大战正式开始。 1.jpg吃瓜群众一边是感叹腾讯的胸襟,一边是评论新IM的产品体验,突然之间我又看到了一篇自媒体叫“今日”无隐私,“头条”在监控?,突然来了灵感,何不调查一下整个互联网究竟是谁家的APP在监控这大众的隐私。

众多的APP一会申请用户通讯录权限,一会又要申请读取通话记录权限等等,这些申请的权限往往和实现相关功能或获取相关数据有关,究竟我们常用的APP需要申请了多少权限?哪家的APP申请的权限更多?小编我准备对此做一下调查,让大家真正的了解谁才是恶人。

一、开土动工,调研四大派系

江湖传言互联网一直存在BAT(百度、腾讯、阿里)、TMD(头条、美团、滴滴)派系,那么就在TOP1000的APP排行榜单上全部下载这个几个派系的产品,发现其实美团、滴滴派系产品相对四大家族百度、腾讯、阿里、头条较少,那我调研的对象就直接对准四大家族吧,毕竟他们基本代表了中国互联网的发展水平。

腾讯派系:微信、QQ、应用宝、腾讯WiFi管家、手机管家等;

阿里派系:手机淘宝、天猫、UC头条、优酷、支付宝等;

百度派系:百度钱包、百度文库、手机百度、百度网盘、百度地图等;

头条派系:今日头条、抖音、西瓜视频、火山小视频、懂车帝、Faceu激萌、悟空问答等。

二、没有最多,只有更多

在各个APP的AndroidManifest.xml中将申请的权限都提取出来做统计,因为发现自定义的权限实在太多了,所以这里仅过滤了Android原生的权限,然后各取前七名然后做一个排行。

2.png

从申请android权限个数来看,腾讯系的APP 应用宝、腾讯WiFi管家、手机管家等均排在前列,申请的android权限数量达到了60~70个权限,而头条系的APP android权限申请数量普遍比较少,今日头条、火山小视频等几乎只有腾讯系前三甲的一半。市面上一些APP往往会申请很多与APP本身功能无关的权限,从而获取更多用户信息或数据,从上图权限申请的情况来看:腾讯还是那么“拔尖”,头条相对其他家,可谓是圈中清流、业界良心。

3.png

我将数据做了分类,将一些涉及用户信息(通讯录、短信、通话记录等)的权限标记为敏感权限,做了一个比较直观雷达图,结果似乎出乎意料却又在意料之中。

三、流氓的背后是用户信息的裸奔

App申请了这么多权限但是真的是功能需要吗?于是我搞了一个简单的代码扫描,粗略的扫了一下一些相关的API调用。

1. 获取通讯录联系人

“获取通讯录联系人”相关功能。通过代码扫描发现,将近一半的APP,比如微信、手机管家、腾讯WiFi管家、钱盾、钉钉、菜鸟裹裹、百度地图、百度贴吧等均有获取用户通讯录的行为,以下是通过反编译手机管家APP,发现的代码中读取通讯录相关的代码。

4.png

微信、钉钉获取通讯录联系人我们可以理解,手机管家、腾讯WiFi管家、百度地图等需要这个干嘛呢?其实都是利益使然,手机APP调取用户部分隐私信息成为常态现象,通过收集该部分信息也有利于应用为用户提供更好的服务体验。但部分企业的APP对用户权限调取存在疑似越界现象,该种行为对用户隐私造成侵犯,网络隐私不应该成为企业牟利工具。

2. Root提权功能

获取隐私什么的大家估计都快习惯了,所以我想到了一个更加刺激的东西,就是root!为此,我写了一个小程序,就是循环判断是否有进程获取了root权限,然后找了一些朋友,把这东西放到他们手机里边做监控。root权限大家使用的还是比较少的,不会把APP做的跟病毒似的。

最后监控到的APP有:Kingroot、净化大师、腾讯手机管家、Baidu 输入法、百度刷机存在该功能。

5.png

root提权是非常有风险的APP行为,一旦提权成功以后,该APP可以进行很多风险操作,如获取其他应用的数据,篡改系统文件,修改系统。

让我比较费解(其实也正常,继承了百度一贯的作风,毕竟我记得三年前百度系应用还留过后门)的是Baidu输入法,居然也会root?而测试的头条系相关的抖音、火山、今日头条等均未有发现有提权相关行为,还是上面的那句话,头条在业界算是良心派系。

四、监管刻不容缓

国家监管部门对于市场上各个APP的权限申请也一直在做各种各样的监管,其目标就是使得APP不要过多地申请与本身功能无关的权限,从而更好地保护用户隐私和用户敏感数据。

2017年颁布实施的《网络安全法》也明确指出“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”,国家也不断的加强监控,但是作为这些巨头互联网在APP开发和发布上也应该严格控制权限的申请,遵守国家规定,用户在使用的时候也应该谨慎授权。

*本文作者:TopSec123,转载请注明来自FreeBuf.COM

相关 [吕布 流氓 app] 推荐:

“三英战吕布”,看我如何抓出那些流氓APP

- - FreeBuf互联网安全新媒体平台
“三英战吕布”,看我如何抓出那些流氓APP. 在今年互联网凛冬来临的时候,整个圈子却火了一把,互联网众诸侯(头条、王欣、罗永浩)组成“复仇者联盟”纷纷做起了IM,并在同一天发布新产品,不过企鹅帝国深知“星星之火,可以燎原”,三个产品刚问世,企鹅帝国就以“迅雷不及掩耳之势”,凭借强大产品矩阵将其在各个渠道封杀,撕逼大战正式开始.

工信部:将统一安卓消息推送标准 约束流氓App

- - IT瘾-iresearch
导语:安卓统一的消息推送标准目前已取得阶段性成果,未来将由终端厂商提供系统级推送服务,确保App的推送消息接收. 工信部旗下泰尔终端实验室6月1日发布消息称,安卓统一的消息推送标准目前已取得阶段性成果,未来将由终端厂商提供系统级推送服务(类似APNS的唯一推送通道),确保App的推送消息接收. 消息推送是App运营的重要一环,为了优化消息推送成功率,降低电量和流量消耗,系统级的推送服务显得尤为重要.

流氓的国度

- jacky - 牛博山寨头条
中国已经沦为流氓大国,一是流氓数量多,二是流氓质量高. 这样说不是卖国,而是爱国,五毛们不必叫嚣. 我没有资本卖国,因为我不是国家的主人,虽然你们的主子从1949年开始就安慰我说我是主人,但我还没找到主人的感觉. 而它总说它是我的仆人,可什么都是它说了算,还总对外人说它代表我. 我爱生养我的这片土地,爱含辛茹苦把我拉扯大的父母,爱滚滚东去那混浆浆的黄河,爱青雾缭绕极目万里的庐山,爱北京肆脖子流汗端上大碗卤煮的厨爷,爱桂林荡一叶扁舟嫋嫋而去的秀女,爱听我身边垮垮的京片子,也爱听早茶楼里永远像吵架的老广腔儿…….

App 和 iCloud

- 笑炊 - 爱范儿 · Beats of Bits
iCloud 的技术细节还在 NDA 的保护下. 但是大家的好奇心不能等到 NDA 失效再满足. 本文基于对 iCloud 的猜测写成,靠谱与否,等待时间检验. 打开浏览器,嗯,今天用 Safari , Chrome , IE 或者 Firefox. 输入 Twiter.com ,啊,不对,是 Twitter.com.

App Internet 革命

- Cary - Mr. Jamie 看網路與創投
Apple 公布最新一季的財報,3 個月賣出了破紀錄的 3,500 萬台 iDevices (iPhone, iPad & iPods). Google 公布最新數字,全球有 1.9 億支 Android 已經被啟用. 大家很興奮「智慧型手機」、「行動裝置」革命終於來到,我卻隱隱感覺到另一件更重大的事情正在發生,我們所熟知的「網路」,即將經歷另一次大幅度的轉變.

浅析App Engine

- - 搜索研发部官方博客
在国内外,云计算正在大步的走向商业化的道路,也得到了越来越多公司的重视. 其中平台即服务(Platform-as-a-Service  PaaS)已经称为业界探讨云计算的热点方式之一,采用PaaS模式来构建应用运行平台App Engine是一种重要的实现方式. 本文主要是对App Engine的背景、特点、需求等进行分析整理,并据此对业界主要的App Engine进行了调研分析.

Mobile App 将死?!

- - Tech2IPO
日前,Mozilla 产品副总监 Jay Sullivan 称移动应用不久即将成为历史,未来将是移动 Web 应用的天下. 光盘好歹还能当杯垫,可怜 Mobile App,难道就这样一下跌落进历史的垃圾堆. Mozilla 的产品副总监杰 • 沙利文 (Jay Sullivan, 上图) 日前表示,移动终端应用(Mobile App)没有未来,真正有前途的是移动 Web 应用(Mobile Web App).

APP已死?

- - 商业不靠谱
APP目前面临的几大窘境将促使搜索引擎由Search向Service、Getting 转变以适应用户在APP时代养成的简洁、高效等习惯. 《未来移动终端应用 C/S Vs B/S 架构》 许永硕——物联网智库. 参照PC软件的发展历程,B/S架构或许是破解APP难题的出路,目前,微信开放平台、手机QQ等在尝试扮演Browser(http://open.weixin.qq.com).

女流氓都是A罩杯

- DA - 非正常人类研究中心 – Mtime时光网

原来流氓最正经

- ss - FT中文网_英国《金融时报》(Financial Times)
在中国古代的历朝历代之中,皇帝内心之中最恐惧一种人,叫做流民. 按照《新华字典》里的解释:因受灾而流亡外地、生活没有着落的人. 因为流民居无定所,又没有生活保障. 平日里在他们所寄寓的地方可能作奸犯科,而一旦他们对现行秩序的不满积聚到了一定程度的时候,就有可能聚众闹事,及至揭竿而起. 历史上有多次的民变,一直到推翻政权的,多是流民所致.