瞄准 Android 安全隐患,打赢这场地道战
说到移动操作系统,就会说到 iOS 和 Android 之争,有时也会演变成封闭与开放之争。Android 的开放性对于智能手机的繁荣有着不可磨灭的贡献,同时 Google Play 的开放性也导致无法把控产品品质,因此产品良莠不齐是一个无可避免的弊端。
那些不那么好的 Android app,有时会夹带恶意软件、广告网页、用户跟踪页面等等让人不快的东西(本文统称为地道)。若说这点在人们选择 Android 时就已经有了心理准备,更大的问题是用户完全不了解手机上的 app 连接到了哪些地方,有多少。由于存在一定技术难度,普通用户不具备相关的技术背景,懂技术的也容易忽略这个问题。
据 MIT Review 报道,Luigi Vigneri 和 Eurecom 对此提出了解决方案,他们设计的一款 app 能够自动监测 Google Play 中与网页/广告相关联的产品。
实验中,团队下载了来自 Google Play 25 个分类的 2000 多款免费软件,然后在同一部手机上逐一运行,再通过自己的服务器监测 app 埋下的地道通向哪里。如此记录下全部隐藏的 url,再与第三方数据库中的广告网站列表进行匹配筛选。
结果是,参与测试的 app 共挖下了 25 万条地道,即平均每个 app 挖了 125 条地道。其中一款单机应用竟然指向 2000 多个不同的网站,堪称地道一霸。这些海量地道的另一端连接的是 2000 个顶级域名,总体上看指向恶意网页的 app 是少数,但有心眼干坏事的都没打算收敛着干,少数派挖地道的功夫堪称专业。另一项数据显示,指向用户跟踪页面的 app 接近总数的 30%。这些数据意味着,在我们装着上百个应用的手机里,存在若干地道是大概率事件。
Luigi Vigneri 和 Eurecom 将这个软件命名为 “NoSuchApp”,缩写为 NSA,与美国国土安全局缩写相同,寓意其强大的监测手段。团队打算在不久以后将这个监测软件发布到 Google Play,让 Android 用户能够更清楚地了解自己手机的安全状况。
即使在最理想的情况下,NSA 也不能一次性解决 app 的隐私安全问题。因为软件的主要功能是监控,而选择还在于人们对隐私的重视程度。例如,光是告诉人们 “你的 app 全都有地道”,人们不可能据此将所有应用删除。并且人们还会问,你监测了所有的 app,谁来监测你?
让 “安卓” 变得安全而卓越是一个伟大的愿景,假如 “NSA 计划” 真能让用户在手机上实时监测每款应用的干净程度,确实能让整个 Android 生态健康前进一小步。至少,app 的地下工作将不会那么肆无忌惮,而且在 NSA 的启发下安全方面的应用也将开辟新的用武之地。
黄姓编辑拿着 Android 手机,叹了口气,依然不明白为何与女友的亲密合影会出现在自己常逛的论坛上。
题图:Wikipedia