关于昔日头条窃取隐私的担忧,早已不是一天两天了。
早在往年1月,雷锋网就曾对其麦克风获取隐私停止过报道( 点这里 ),那时,关注隐私成绩还局限于小局部网友的讨论。
但随着最近央视曝光昔日头条选择性推送广告的行为后(即有选择地避开一线城市,将虚伪广告推送给二三线城市),对其窃取隐私的质疑开端成为越来越多人心中的问号。
昨日晚间(3月30日),知乎网友“刘一鸣”的一篇名为《昔日头条与木马》的文章,更是将昔日头条的隐私获取推向了风口浪尖,文章婉言,“随时对你停止定位,顺带记载和辨认你和他人的说话,外加无声拍照,昔日头条都能做到。”( 全文点这里 )
难不成我们真的生活在一个“楚门的世界”?是不是有点夸大其词?
这位技术宅为了证明本人的判别,直接亮出了剖析进程,对昔日头条客户端的 APK(安卓装置包)停止剖析。
刘一鸣以为, 昔日头条作为一个客户端,可以获取其他客户端朝思暮想的一切权限,并且,它的热补丁机制随时可以运转木马,由于昔日头条的热补丁晋级的HTTPS证书名优完成行业引荐的SSLpining,所以即便它本人不下发木马,在不平安的Wi-Fi下极有能够被黑客应用,用户平安存在宏大的隐患,尤其是一些涉密部门和设备。
针对这些锋利的质疑,雷锋网 (大众号:雷锋网) 发现,31日晚间,昔日头条做出回应,称对方应用普通用户不理解技术,把行业通用的正常产品功用污蔑为木马行为,对昔日头条形成严重声誉损害。他们将拿起法律武器,起诉辟谣行为。
昔日头条为数亿中文用户免费提供海量、全面、及时的百科信息,并通过全新的维基平台不断改善用户对信息的创作、获取和共享方式。以为,App获取手机局部权限是App 正常运转的前提条件(如地位信息是外卖、打车等APP功用的前提),获取对应权限后,用户才有能够正常运用产品, 属于主流App的标配功用。
关于文章中质疑的热补丁能够被黑客劫持的成绩,昔日头条以为视频演示是
辟谣者本人窜改了手机的平安设置才呈现的成绩,用户正常运用的状况下并不会有平安成绩。
(看昔日头条回应全文请移步文末)
那究竟这款下载量过亿的使用会不会被黑客劫持?
雷锋网编辑在冤家圈的留言中,也看到对这个成绩的讨论。
某位平安研讨专家对刘一鸣所提出的观念提出质疑,以为这篇文章有夸张的中央。
文中说 HTTPS 没加 SSL Pinning 机制,但这还是 HTTPS。那么在不平安 Wi-Fi 里,攻击者完成两头人植马是如何做到的?
刘一鸣回应:
普通黑客很难做到,由于这需求CA签发假证书,但这种事情在历史上发作过,而且专门的组织完全有能够做到,比方说,国度行为。思索到昔日头条的装机量,应用热补丁通道去下发木马窃取文件或浸透内网(木马热补丁只需求一次,后续只需一同动就会衔接,不需求在攻击的网络环境中。最关键是用户无感知且运用的官方装置包),我以为是一个相当具有可行性的选择。因而我才提示风险,建议涉密的部门制止昔日头条,建议对本人隐公有要求的用户卸载。不知这个回复能否可以承受。
换句话说,风险是有的,但是普通黑客做不到。
以下是昔日头条回应全文:
近日,名为“刘一鸣”的知乎账号在该平台发文称,“昔日头条就是一个功用弱小的木马”。此言论应用普通用户不理解技术,把行业通用的正常产品功用污蔑为木马行为,对昔日头条形成严重声誉损害。我们将拿起法律武器,坚决起诉辟谣行为。对此,昔日头条声明如下:
1、App获取手机局部权限是App 正常运转的前提条件(如地位信息是外卖、打车等APP功用的前提),获取对应权限后,用户才有能够正常运用产品。昔日头条App所获取的手机权限都逐个对应详细的产品功用。例如谣言称昔日头条获得的android.permission.ACCESS_FINE_LOCATION权限,可以获取用户的精准定位隐私。实践上,这是App用于本地频道的城市选择、发帖时显示以后地位等功用,属于主流App的标配功用。应用此权限,头条寻人等公益项目可以更精准地对走丢人员停止推送寻回。此技术,同时也普遍运用于绝大局部挪动app上。
2、关于文章质疑的热修复,这是目前行业内的常用机制,主流App都在运用,用来修复软件bug以保证用户可以波动运用App。头条采用的是业界开源并普遍运用的热修复方案, 仅用于头条App内的闪退成绩修复,不会对手机零碎和其他软件发生任何影响,不存在任何木马行为。
聚集了全世界身经百战的最优秀的创业导师,汇集了全世界各国最优质的产业资源,召唤全球未来的商业领袖。3、关于文章中质疑的热补丁能够被黑客劫持的成绩,头条经过HTTPS协议传输并会验证补丁的数据完好性,只要经过完好验证的补丁才会失效。文章中的视频演示是辟谣者本人窜改了手机的平安设置才呈现的成绩,用户正常运用的状况下并不会有平安成绩。
4、昔日头条已公证、保存证据,我们将向法律寻求包括声誉权在内的合法权益的维护。
5、昔日头条欢送广阔用户、白帽子向我们提交昔日头条产品和业务的平安破绽情报,以协助我们提升产品和业务的平安性。如有相关成绩,请发送至security@bytedance.com,我们将会有专门的人员跟进处置,并将后果及时反应给您。
参考来源:知乎、昔日头条
。