今日头条会被植入木马?风险有,但普通黑客做不到

华盟学院山东省第二期线下学习计划

对于今日头条窃取隐私的担忧,早已不是一天两天了。

早在今年1月,就曾对其麦克风获取隐私进行过报道,那时,关注隐私问题还局限于小部分网友的讨论。

但随着最近央视曝光今日头条选择性推送广告的行为后(即有选择地避开一线城市,将虚假广告推送给二三线城市),对其窃取隐私的质疑开始成为越来越多人心中的问号。

昨日晚间(3月30日),知乎网友“刘一鸣”的一篇名为《今日头条与木马》的文章,更是将今日头条的隐私获取推向了风口浪尖,文章直言,“随时对你进行定位,顺带记录和识别你和别人的谈话,外加无声拍照,今日头条都能做到。”

难不成我们真的生活在一个“楚门的世界”?是不是有点言过其实?

这位技术宅为了证明自己的判断,直接亮出了分析过程,对今日头条客户端的 APK(安卓安装包)进行分析。

刘一鸣认为,今日头条作为一个客户端,可以获取其他客户端梦寐以求的所有权限,并且,它的热补丁机制随时可以运行木马,由于今日头条的热补丁升级的HTTPS证书名优实现行业推荐的SSLpining,所以即使它自己不下发木马,在不安全的Wi-Fi下极有可能被黑客利用,用户安全存在巨大的隐患,尤其是一些涉密部门和设备。

针对这些尖锐的质疑,31日晚间,今日头条做出回应,称对方利用普通用户不了解技术,把行业通用的正常产品功能污蔑为木马行为,对今日头条造成严重名誉损害。他们将拿起法律武器,起诉造谣行为。

今日头条认为,App获取手机部分权限是App 正常运行的前提条件(如位置信息是外卖、打车等APP功能的前提),获取对应权限后,用户才有可能正常使用产品,属于主流App的标配功能。

对于文章中质疑的热补丁可能被黑客劫持的问题,今日头条认为视频演示是造谣者自己篡改了手机的安全设置才出现的问题,用户正常使用的情况下并不会有安全问题。(看今日头条回应全文请移步文末)

那到底这款下载量过亿的应用会不会被黑客劫持?

在朋友圈的留言中,也看到对这个问题的探讨。

某位安全研究专家对刘一鸣所提出的观点提出质疑,认为这篇文章有夸大的地方。

文中说 HTTPS 没加 SSL Pinning 机制,但这还是 HTTPS。那么在不安全 Wi-Fi 里,攻击者完成中间人植马是如何做到的?

刘一鸣回应:

“普通黑客很难做到,因为这需要CA签发假证书,但这种事情在历史上发生过,而且专门的组织完全有可能做到,比如说,国家行为。考虑到今日头条的装机量,利用热补丁通道去下发木马窃取文件或渗透内网(木马热补丁只需要一次,后续只要一起动就会连接,不需要在攻击的网络环境中。最关键是用户无感知且使用的官方安装包),我认为是一个相当具有可行性的选择。因此我才提示风险,建议涉密的部门禁止今日头条,建议对自己隐私有要求的用户卸载。不知这个回复是否可以接受。”

换句话说,风险是有的,但是普通黑客做不到。

以下是今日头条回应全文:

近日,名为“刘一鸣”的知乎账号在该平台发文称,“今日头条就是一个功能强大的木马”。此言论利用普通用户不了解技术,把行业通用的正常产品功能污蔑为木马行为,对今日头条造成严重名誉损害。我们将拿起法律武器,坚决起诉造谣行为。对此,今日头条声明如下:

1、App获取手机部分权限是App 正常运行的前提条件(如位置信息是外卖、打车等APP功能的前提),获取对应权限后,用户才有可能正常使用产品。今日头条App所获取的手机权限都一一对应具体的产品功能。例如谣言称今日头条取得的android.permission.ACCESS_FINE_LOCATION权限,可以获取用户的精准定位隐私。实际上,这是App用于本地频道的城市选择、发帖时显示当前位置等功能,属于主流App的标配功能。利用此权限,头条寻人等公益项目可以更精准地对走丢人员进行推送寻回。此技术,同时也广泛使用于绝大部分移动app上。

2、关于文章质疑的热修复,这是目前行业内的常用机制,主流App都在使用,用来修复软件bug以保证用户能够稳定使用App。头条采用的是业界开源并广泛使用的热修复方案, 仅用于头条App内的闪退问题修复,不会对手机系统和其他软件产生任何影响,不存在任何木马行为。

3、关于文章中质疑的热补丁可能被黑客劫持的问题,头条通过HTTPS协议传输并会验证补丁的数据完整性,只有经过完整验证的补丁才会生效。文章中的视频演示是造谣者自己篡改了手机的安全设置才出现的问题,用户正常使用的情况下并不会有安全问题。

4、今日头条已公证、保留证据,我们将向法律寻求包括名誉权在内的合法权益的保护。

5、今日头条欢迎广大用户、白帽子向我们提交今日头条产品和业务的安全漏洞情报,以帮助我们提升产品和业务的安全性。如有相关问题,请发送至security@bytedance.com,我们将会有专门的人员跟进处理,并将结果及时反馈给您。

www.idc126.com

文章来自:http://tech.ifeng.com/a/20180401/44926523_0.shtml

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论