freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“三英战吕布”,看我如何抓出那些流氓APP
2019-02-09 09:00:08

“三英战吕布”,看我如何抓出那些流氓APP

在今年互联网凛冬来临的时候,整个圈子却火了一把,互联网众诸侯(头条、王欣、罗永浩)组成“复仇者联盟”纷纷做起了IM,并在同一天发布新产品,不过企鹅帝国深知“星星之火,可以燎原”,三个产品刚问世,企鹅帝国就以“迅雷不及掩耳之势”,凭借强大产品矩阵将其在各个渠道封杀,撕逼大战正式开始。1.jpg吃瓜群众一边是感叹腾讯的胸襟,一边是评论新IM的产品体验,突然之间我又看到了一篇自媒体叫“今日”无隐私,“头条”在监控?,突然来了灵感,何不调查一下整个互联网究竟是谁家的APP在监控这大众的隐私。

众多的APP一会申请用户通讯录权限,一会又要申请读取通话记录权限等等,这些申请的权限往往和实现相关功能或获取相关数据有关,究竟我们常用的APP需要申请了多少权限?哪家的APP申请的权限更多?小编我准备对此做一下调查,让大家真正的了解谁才是恶人。

一、开土动工,调研四大派系

江湖传言互联网一直存在BAT(百度、腾讯、阿里)、TMD(头条、美团、滴滴)派系,那么就在TOP1000的APP排行榜单上全部下载这个几个派系的产品,发现其实美团、滴滴派系产品相对四大家族百度、腾讯、阿里、头条较少,那我调研的对象就直接对准四大家族吧,毕竟他们基本代表了中国互联网的发展水平。

腾讯派系:微信、QQ、应用宝、腾讯WiFi管家、手机管家等;

阿里派系:手机淘宝、天猫、UC头条、优酷、支付宝等;

百度派系:百度钱包、百度文库、手机百度、百度网盘、百度地图等;

头条派系:今日头条、抖音、西瓜视频、火山小视频、懂车帝、Faceu激萌、悟空问答等。

二、没有最多,只有更多

在各个APP的AndroidManifest.xml中将申请的权限都提取出来做统计,因为发现自定义的权限实在太多了,所以这里仅过滤了Android原生的权限,然后各取前七名然后做一个排行。

2.png

从申请android权限个数来看,腾讯系的APP 应用宝、腾讯WiFi管家、手机管家等均排在前列,申请的android权限数量达到了60~70个权限,而头条系的APP android权限申请数量普遍比较少,今日头条、火山小视频等几乎只有腾讯系前三甲的一半。市面上一些APP往往会申请很多与APP本身功能无关的权限,从而获取更多用户信息或数据,从上图权限申请的情况来看:腾讯还是那么“拔尖”,头条相对其他家,可谓是圈中清流、业界良心。

3.png

我将数据做了分类,将一些涉及用户信息(通讯录、短信、通话记录等)的权限标记为敏感权限,做了一个比较直观雷达图,结果似乎出乎意料却又在意料之中。

三、流氓的背后是用户信息的裸奔

App申请了这么多权限但是真的是功能需要吗?于是我搞了一个简单的代码扫描,粗略的扫了一下一些相关的API调用。

1. 获取通讯录联系人

“获取通讯录联系人”相关功能。通过代码扫描发现,将近一半的APP,比如微信、手机管家、腾讯WiFi管家、钱盾、钉钉、菜鸟裹裹、百度地图、百度贴吧等均有获取用户通讯录的行为,以下是通过反编译手机管家APP,发现的代码中读取通讯录相关的代码。

4.png

微信、钉钉获取通讯录联系人我们可以理解,手机管家、腾讯WiFi管家、百度地图等需要这个干嘛呢?其实都是利益使然,手机APP调取用户部分隐私信息成为常态现象,通过收集该部分信息也有利于应用为用户提供更好的服务体验。但部分企业的APP对用户权限调取存在疑似越界现象,该种行为对用户隐私造成侵犯,网络隐私不应该成为企业牟利工具。

2. Root提权功能

获取隐私什么的大家估计都快习惯了,所以我想到了一个更加刺激的东西,就是root!为此,我写了一个小程序,就是循环判断是否有进程获取了root权限,然后找了一些朋友,把这东西放到他们手机里边做监控。root权限大家使用的还是比较少的,不会把APP做的跟病毒似的。

最后监控到的APP有:Kingroot、净化大师、腾讯手机管家、Baidu 输入法、百度刷机存在该功能。

5.png

root提权是非常有风险的APP行为,一旦提权成功以后,该APP可以进行很多风险操作,如获取其他应用的数据,篡改系统文件,修改系统。

让我比较费解(其实也正常,继承了百度一贯的作风,毕竟我记得三年前百度系应用还留过后门)的是Baidu输入法,居然也会root?而测试的头条系相关的抖音、火山、今日头条等均未有发现有提权相关行为,还是上面的那句话,头条在业界算是良心派系。

四、监管刻不容缓

国家监管部门对于市场上各个APP的权限申请也一直在做各种各样的监管,其目标就是使得APP不要过多地申请与本身功能无关的权限,从而更好地保护用户隐私和用户敏感数据。

2017年颁布实施的《网络安全法》也明确指出“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”,国家也不断的加强监控,但是作为这些巨头互联网在APP开发和发布上也应该严格控制权限的申请,遵守国家规定,用户在使用的时候也应该谨慎授权。

*本文作者:TopSec123,转载请注明来自FreeBuf.COM

# 数据泄露 # 微信 # 权限获取
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者