瞄準 Android 安全隱患,打贏這場地道戰


標籤:Enrecom Google Play Google/Android Luigi Vigneri 隱私安全

説到移動操作系統,就會説到 iOS 和 Android 之爭,有時也會演變成封閉與開放之爭。Android 的開放性對於智能手機的繁榮有着不可磨滅的貢獻,同時 Google Play 的開放性也導致無法把控產品品質,因此產品良莠不齊是一個無可避免的弊端。

那些不那麼好的 Android app,有時會夾帶惡意軟件、廣告網頁、用户跟蹤頁面等等讓人不快的東西(本文統稱為地道)。若説這點在人們選擇 Android 時就已經有了心理準備,更大的問題是用户完全不瞭解手機上的 app 連接到了哪些地方,有多少。由於存在一定技術難度,普通用户不具備相關的技術背景,懂技術的也容易忽略這個問題。

據 MIT Review 報道,Luigi Vigneri 和 Eurecom 對此提出瞭解決方案,他們設計的一款 app 能夠自動監測 Google Play 中與網頁/廣告相關聯的產品。

實驗中,團隊下載了來自 Google Play 25 個分類的 2000 多款免費軟件,然後在同一部手機上逐一運行,再通過自己的服務器監測 app 埋下的地道通向哪裏。如此記錄下全部隱藏的 url,再與第三方數據庫中的廣告網站列表進行匹配篩選。

結果是,參與測試的 app 共挖下了 25 萬條地道,即平均每個 app 挖了 125 條地道。其中一款單機應用竟然指向 2000 多個不同的網站,堪稱地道一霸。這些海量地道的另一端連接的是 2000 個頂級域名,總體上看指向惡意網頁的 app 是少數,但有心眼乾壞事的都沒打算收斂着幹,少數派挖地道的功夫堪稱專業。另一項數據顯示,指向用户跟蹤頁面的 app 接近總數的 30%。這些數據意味着,在我們裝着上百個應用的手機裏,存在若干地道是大概率事件。

Luigi Vigneri 和 Eurecom 將這個軟件命名為“NoSuchApp”,縮寫為 NSA,與美國國土安全局縮寫相同,寓意其強大的監測手段。團隊打算在不久以後將這個監測軟件發佈到 Google Play,讓 Android 用户能夠更清楚地瞭解自己手機的安全狀況。

即使在最理想的情況下,NSA 也不能一次性解決 app 的隱私安全問題。因為軟件的主要功能是監控,而選擇還在於人們對隱私的重視程度。例如,光是告訴人們“你的 app 全都有地道”,人們不可能據此將所有應用刪除。並且人們還會問,你監測了所有的 app,誰來監測你?

讓“Android”變得安全而卓越是一個偉大的願景,假如“NSA 計劃”真能讓用户在手機上實時監測每款應用的乾淨程度,確實能讓整個 Android 生態健康前進一小步。至少,app 的地下工作將不會那麼肆無忌憚,而且在 NSA 的啟發下安全方面的應用也將開闢新的用武之地。

黃姓編輯拿着 Android 手機,歎了口氣,依然不明白為何與女友的親密合影會出現在自己常逛的論壇上。

題圖:Wikipedia


資料來源:愛範兒(ifanr)
作者/編輯:吳 垠

如果喜歡我們的文章,請即分享到︰

標籤: Android 安全隱患