窥探:你的APP正在偷偷干什么? – 作者:能信安科技nesun

前段时间闹得沸沸扬扬的QQ偷偷删除图片一事,有网友观察到,在EMUI手机ROM当中,会提示QQ试图删除图片。

0?wx_fmt.png

虽然腾讯和华为纷纷回应表示QQ删除的是缓存文件,并非是用户手动保存的图片,QQ并不会对特定图片采取删除措施。而这个误会,是由于QQ为遵循安卓规范、导致缓存图片被误判为普通图片引起的。

0?wx_fmt.png

APP喜欢私下搞小动作已经不是一两天了,有人天天盯着你做了什么事,甚至想私下翻看你的隐私信息,无论是谁都会很反感,而技术小白和普通用户对此又无从察觉。

最近,小米仿佛听懂了用户的心声,其手机最新版操作系统——MIUI12中,暗戳戳上线了一个叫“照明弹”的功能,它最吸引人的设定就是,用户可以通过“照明弹”查看某一应用自启动、被其他应用启动以及读取设备数据等具体行为。

0?wx_fmt.png

将手机APP所有暗箱操作公之于众,这波操作实在是太丧心病狂了,我喜欢!

被开发者玩坏的安卓开源平台

APP自启动早已不是什么新鲜事儿,毕竟是安卓平台赋予了开发者这个能力。

安卓系统是一个开源开放的平台,想要被更多的设备使用,获取更多的应用场景,就需要足够多的接口支持操作。故安卓系统支持程序自启动以实现开机进入应用程序、即插即用功能,有需求的APP只需要调用API接口即可。

0?wx_fmt.png

安卓用意虽好,但到了开发者那里却被衍生出了“私心”,一些APP开始利用这个API接口,一面刷着DAU,一面在手机后台偷偷收集数据。你的地理位置、录音、通讯录、剪贴板、相册等数据在开发者看来都是高价值的宝贝。

开发者为了强于竞争者的用户体验,更甚者还会试图唤醒其他APP获取更多信息。

被滥用的链式启动究竟有多恶心

何为链式启动?比如只要你开启微博APP,就会唤起墨迹天气、百词斩、抖音、云闪付等APP。

0?wx_fmt.jpeg

毫无疑问,这会给用户体验带来很大的负面影响。在链式启动机制下,开启一个APP等于开启N个APP,而这N个APP又会分别再开启N个APP,如同无限套娃,硬件再好的手机,电量和性能也分分钟被榨得一滴都不剩。

为了对付链式启动,无论是Google官方安卓,还是各大手机厂商自己做的ROM,都做了不少举措,例如国产ROM很早就开始限制APP相互唤醒,安卓新版限制了不规范API的调用令链式启动难以实施,这次MIUI的“照明弹”也是为限制链式启动所做的努力。

徘徊在黑产边缘的进阶玩法

事实上,对于大多数 App 来说,拥有自启动的能力都是一个零本万利的事。甚至为了以防哪天万一用得到,很多 App 在开发之初会预留这一能力。

一般而言,大公司的APP受到监管更为严格,也会相对规范一些,但小众APP们路子会更野一些。比如偷偷启动麦克风监听或录音,或者访问相册获取隐私照片等等。这些用户数据会被打包售卖,甚至有可能被卖给黑产……

0?wx_fmt.png

其中,不合规APP最典型的玩法要数APP双进程:当用户启动 App 时,同时启动了这一 App 的两个进程。当用户关掉 App 时,一个进程被杀死,另一个仍在后台运行。

玩法甚至会衍生到多个APP上面,比如上图中一个APP试图去唤醒另一个APP,一种很有可能是为了广告刷量。

举例:A 公司在 B 公司的 App 上投广告,那么通过 B 向 A 导流的每一次点击都会为 B 带来营收。所以 B 在后台假装用户点击 A,那么在 A 看来就是一个「真实用户的点击」。

另外一种可能是APP之间相互交换数据。当APP平台上用户数据不够充分时,系统就需要更丰富的数据信息来预测用户意图和生活轨迹,通过关系链的相互拉取,APP能够精准进行用户画像,识别购买需求。

APP“玩法”如此之多最严重的问题就是用户隐私泄露,其次会造成手机发热、卡顿故障等,影响使用。

小米因“照明弹”功能获得众多好评,但此功能在于发现,解决更多依靠用户对后台程序功能的约束,从此违规APP又增加了曝光量,但关于用户隐私数据保护方面仍需要开发商在保持商业良性竞争同时约束自我,监管方和平台方需共同担负起管理职责。

来源:freebuf.com 2020-05-19 17:29:03 by: 能信安科技nesun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论