近期,央视报道了今日头条选择性推送广告的行为,即今日头条有选择地避开一线城市,将虚假广告推送给二三线城市。 虽然定向推送这种技术并不新鲜,今日头条用这种技术偷偷作恶,却着实令人担忧。幸好,作恶的对象是二三线的居民,生活在一线城市的我们,似乎还可以心存侥幸? 今日头条能做到:随时对你进行定位,顺带记录和识别你和别人的谈话,外加无声拍照,窃取您手机里的机密文件,今日头条能做到。总体来讲,只有它想不想做,没有它做不到。 问题 今日头条几乎获取了所有权限。 从信息安全的角度来讲,应用应仅取得必要的权限,但是今日头条基本把敏感权限都请求了。 对今日头条客户端APK的分析结果,显示今日头条申请的权限如下: 
上述的这些权限能做什么,各位可以通过百度查找。 这里面有几个尤其敏感的: 
基本上木马梦寐以求的各种权限,作为一个新闻客户端的今日头条都要了。 它的许多功能都是通过热补丁按需下载安装的,不要误会,不是按照你的需要,而是按照今日头条的需要。 比如它一个典型的热补丁列表,这个“robust_hotfix_for_66509”就是一段未加验证就加载的可执行代码。 
今日头条有能力随时下发一段代码,让手机里的客户端去执行。 至于下发什么代码、给什么人下发、什么条件下下发,那完全能是看人下菜碟。 就像今日头条对二三线城市用户做的事情那样。 苹果为什么禁止热补丁,一个原因就是担心这样的情况发生。 在信息安全领域里,攻击是否会发生要从两个维度考虑,即能力与意愿。 从今日头条客户端的设计上看,今日头条具有木马的一切能力,唯一的问题是,今日头条是否有作恶的意愿? 从今日头条选择性虚假广告上看,这并不是一个足够自律的企业,它是否能抵御用户隐私的诱惑呢?要打一个巨大的问号。但是即便今日头条能抵御诱惑,其客户端设计存在的安全问题,也给了别有用心的黑客太多的机会。 题外话 在互联网时代,信息安全的确不一定能跟得上业务的快速变化,相关国家标准的制定也必然慢于新技术的发展。 可以说,存在安全风险是必然的,厂商获得不受监管的巨大权力也是必然的。 在这种条件下,厂商面对作恶的态度和自律就显得尤为重要,应该珍惜用户这份信任。 科兰美轩信息科技有限公司,专注数据安全,文件加密,数据备份和应用容灾,针对电脑上的文件和手机上的信息安全都有各种安全类的解决方案,欢迎跟我们取得联系。 |
| ·上一条:数据备份很重要 台女子不满被开除狂删1.5万笔资料报复 | ·下一条:电脑文档没有加密,哪些数据存在泄密风险? |  |
