在今年互聯(lián)網(wǎng)凜冬來臨的時候,整個圈子卻火了一把,互聯(lián)網(wǎng)眾諸侯(頭條、王欣、羅永浩)組成“復仇者聯(lián)盟”紛紛做起了IM,并在同一天發(fā)布新產(chǎn)品,不過企鵝帝國深知“星星之火,可以燎原”,三個產(chǎn)品剛問世,企鵝帝國就以“迅雷不及掩耳之勢”,憑借強大產(chǎn)品矩陣將其在各個渠道封殺,撕逼大戰(zhàn)正式開始。
吃瓜群眾一邊是感嘆騰訊的胸襟,一邊是評論新IM的產(chǎn)品體驗,突然之間我又看到了一篇自媒體叫“今日”無隱私,“頭條”在監(jiān)控?,突然來了靈感,何不調(diào)查一下整個互聯(lián)網(wǎng)究竟是誰家的APP在監(jiān)控這大眾的隱私。
眾多的APP一會申請用戶通訊錄權(quán)限,一會又要申請讀取通話記錄權(quán)限等等,這些申請的權(quán)限往往和實現(xiàn)相關(guān)功能或獲取相關(guān)數(shù)據(jù)有關(guān),究竟我們常用的APP需要申請了多少權(quán)限?哪家的APP申請的權(quán)限更多?小編我準備對此做一下調(diào)查,讓大家真正的了解誰才是惡人。
一、開土動工,調(diào)研四大派系
江湖傳言互聯(lián)網(wǎng)一直存在BAT(百度、騰訊、阿里)、TMD(頭條、美團、滴滴)派系,那么就在TOP1000的APP排行榜單上全部下載這個幾個派系的產(chǎn)品,發(fā)現(xiàn)其實美團、滴滴派系產(chǎn)品相對四大家族百度、騰訊、阿里、頭條較少,那我調(diào)研的對象就直接對準四大家族吧,畢竟他們基本代表了中國互聯(lián)網(wǎng)的發(fā)展水平。
騰訊派系: 微信、QQ、應(yīng)用寶、騰訊WiFi管家、手機管家等;
阿里派系: 手機淘寶、天貓、UC頭條、優(yōu)酷、支付寶等;
百度派系: 百度錢包、百度文庫、手機百度、百度網(wǎng)盤、百度地圖等;
頭條派系: 今日頭條、抖音、西瓜視頻、火山小視頻、懂車帝、Faceu激萌、悟空問答等。
二、沒有最多,只有更多
在各個APP的AndroidManifest.xml中將申請的權(quán)限都提取出來做統(tǒng)計,因為發(fā)現(xiàn)自定義的權(quán)限實在太多了,所以這里僅過濾了Android原生的權(quán)限,然后各取前七名然后做一個排行。
從申請android權(quán)限個數(shù)來看,騰訊系的APP 應(yīng)用寶、騰訊WiFi管家、手機管家等均排在前列,申請的android權(quán)限數(shù)量達到了60~70個權(quán)限,而頭條系的APP android權(quán)限申請數(shù)量普遍比較少,今日頭條、火山小視頻等幾乎只有騰訊系前三甲的一半。市面上一些APP往往會申請很多與APP本身功能無關(guān)的權(quán)限,從而獲取更多用戶信息或數(shù)據(jù),從上圖權(quán)限申請的情況來看:騰訊還是那么“拔尖”,頭條相對其他家,可謂是圈中清流、業(yè)界良心。
我將數(shù)據(jù)做了分類,將一些涉及用戶信息(通訊錄、短信、通話記錄等)的權(quán)限標記為敏感權(quán)限,做了一個比較直觀雷達圖,結(jié)果似乎出乎意料卻又在意料之中。
三、流氓的背后是用戶信息的裸奔
App申請了這么多權(quán)限但是真的是功能需要嗎?于是我搞了一個簡單的代碼掃描,粗略的掃了一下一些相關(guān)的API調(diào)用。
1. 獲取通訊錄聯(lián)系人
“獲取通訊錄聯(lián)系人”相關(guān)功能。通過代碼掃描發(fā)現(xiàn),將近一半的APP,比如微信、手機管家、騰訊WiFi管家、錢盾、釘釘、菜鳥裹裹、百度地圖、百度貼吧等均有獲取用戶通訊錄的行為,以下是通過反編譯手機管家APP,發(fā)現(xiàn)的代碼中讀取通訊錄相關(guān)的代碼。
微信、釘釘獲取通訊錄聯(lián)系人我們可以理解,手機管家、騰訊WiFi管家、百度地圖等需要這個干嘛呢?其實都是利益使然,手機APP調(diào)取用戶部分隱私信息成為常態(tài)現(xiàn)象,通過收集該部分信息也有利于應(yīng)用為用戶提供更好的服務(wù)體驗。但部分企業(yè)的APP對用戶權(quán)限調(diào)取存在疑似越界現(xiàn)象,該種行為對用戶隱私造成侵犯,網(wǎng)絡(luò)隱私不應(yīng)該成為企業(yè)牟利工具。
2. Root提權(quán)功能
獲取隱私什么的大家估計都快習慣了,所以我想到了一個更加刺激的東西,就是root!為此,我寫了一個小程序,就是循環(huán)判斷是否有進程獲取了root權(quán)限,然后找了一些朋友,把這東西放到他們手機里邊做監(jiān)控。root權(quán)限大家使用的還是比較少的,不會把APP做的跟病毒似的。
最后監(jiān)控到的APP有:Kingroot、凈化大師、騰訊手機管家、Baidu 輸入法、百度刷機存在該功能。
root提權(quán)是非常有風險的APP行為,一旦提權(quán)成功以后,該APP可以進行很多風險操作,如獲取其他應(yīng)用的數(shù)據(jù),篡改系統(tǒng)文件,修改系統(tǒng)。
讓我比較費解(其實也正常,繼承了百度一貫的作風,畢竟我記得三年前百度系應(yīng)用還留過后門)的是Baidu輸入法,居然也會root?而測試的頭條系相關(guān)的抖音、火山、今日頭條等均未有發(fā)現(xiàn)有提權(quán)相關(guān)行為,還是上面的那句話,頭條在業(yè)界算是良心派系。
四、監(jiān)管刻不容緩
國家監(jiān)管部門對于市場上各個APP的權(quán)限申請也一直在做各種各樣的監(jiān)管,其目標就是使得APP不要過多地申請與本身功能無關(guān)的權(quán)限,從而更好地保護用戶隱私和用戶敏感數(shù)據(jù)。
2017年頒布實施的《網(wǎng)絡(luò)安全法》也明確指出“網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的,其提供者應(yīng)當向用戶明示并取得同意;涉及用戶個人信息的,還應(yīng)當遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定”,國家也不斷的加強監(jiān)控,但是作為這些巨頭互聯(lián)網(wǎng)在APP開發(fā)和發(fā)布上也應(yīng)該嚴格控制權(quán)限的申請,遵守國家規(guī)定,用戶在使用的時候也應(yīng)該謹慎授權(quán)。
*本文作者:TopSec123,轉(zhuǎn)載請注明來自FreeBuf.COM
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!