对于今日头条窃取隐私的担忧,早已不是一天两天了。
早在今年1月,雷锋网就曾对其麦克风获取隐私进行过报道(点这里),那时,关注隐私问题还局限于小部分网友的讨论。
但随着最近央视曝光今日头条选择性推送广告的行为后(即有选择地避开一线城市,将虚假广告推送给二三线城市),对其窃取隐私的质疑开始成为越来越多人心中的问号。
昨日晚间(3月30日),知乎网友“刘一鸣”的一篇名为《今日头条与木马》的文章,更是将今日头条的隐私获取推向了风口浪尖,文章直言,“随时对你进行定位,顺带记录和识别你和别人的谈话,外加无声拍照,今日头条都能做到。”(全文点这里)
难不成我们真的生活在一个“楚门的世界”?是不是有点言过其实?
这位技术宅为了证明自己的判断,直接亮出了分析过程,对今日头条客户端的 APK(安卓安装包)进行分析。
刘一鸣认为,今日头条作为一个客户端,可以获取其他客户端梦寐以求的所有权限,并且,它的热补丁机制随时可以运行木马,由于今日头条的热补丁升级的HTTPS证书名优实现行业推荐的SSLpining,所以即使它自己不下发木马,在不安全的Wi-Fi下极有可能被黑客利用,用户安全存在巨大的隐患,尤其是一些涉密部门和设备。
针对这些尖锐的质疑,雷锋网发现,31日晚间,今日头条做出回应,称对方利用普通用户不了解技术,把行业通用的正常产品功能污蔑为木马行为,对今日头条造成严重名誉损害。他们将拿起法律武器,起诉造谣行为。
今日头条认为,App获取手机部分权限是App 正常运行的前提条件(如位置信息是外卖、打车等APP功能的前提),获取对应权限后,用户才有可能正常使用产品,属于主流App的标配功能。
对于文章中质疑的热补丁可能被黑客劫持的问题,今日头条认为视频演示是造谣者自己篡改了手机的安全设置才出现的问题,用户正常使用的情况下并不会有安全问题。(看今日头条回应全文请移步文末)
那到底“刘一鸣”的这篇文章是否在故意黑今日头条?其所描述的安全问题是否存在?又是否被夸大了?
雷锋网编辑在知乎文章下方的评论中发现,慢雾科技联合创始人余弦就对刘一鸣所持的观点提出质疑:
文中说 HTTPS 没加 SSL Pinning 机制,但这还是 HTTPS。那么在不安全 Wi-Fi 里,攻击者完成中间人植马是如何做到的?
刘一鸣回应:
普通黑客很难做到,因为这需要CA签发假证书,但这种事情在历史上发生过,而且专门的组织完全有可能做到,比如说,国家行为。考虑到今日头条的装机量,利用热补丁通道去下发木马窃取文件或渗透内网(木马热补丁只需要一次,后续只要一起动就会连接,不需要在攻击的网络环境中。最关键是用户无感知且使用的官方安装包),我认为是一个相当具有可行性的选择。因此我才提示风险,建议涉密的部门禁止今日头条,建议对自己隐私有要求的用户卸载。不知这个回复是否可以接受。
换句话说,风险是有的,但是普通黑客做不到。
余弦认为,虽然加上 SSL Pinning 机制确实可以杜绝一些恶意的流量调试,安全门槛更高,但是这并不是主要的安全门槛,即使不加 SSL Pinning ,想做中间人劫持,也得跨过 HTTPS 这座大山,难度很大。
黑客如果真的想针对某个人的手机做流量分析和调试,完全可以把手机越狱,取消 SSL Pinning ,这样也可以达到目的。所以更加安全的 SSL Pinning方案并不是安全问题的重点。
此外,其实今日头条所遇到的热修复问题目前市面上很多应用都会遇到,所以文中专门针对今日头条提出的安全隐患,指向性有些强。但他披露的事情如果能让大家对安卓的安全生态引起重视,也是一件好事情,行业的自律对于安卓生态的发展很重要,对于用户权限不要越界申请,同时热补丁机制也需要做好安全校验,要把用户的隐私与安全需要时刻摆在第一位。
以下是今日头条回应全文:
近日,名为“刘一鸣”的知乎账号在该平台发文称,“今日头条就是一个功能强大的木马”。此言论利用普通用户不了解技术,把行业通用的正常产品功能污蔑为木马行为,对今日头条造成严重名誉损害。我们将拿起法律武器,坚决起诉造谣行为。对此,今日头条声明如下:
1、App获取手机部分权限是App 正常运行的前提条件(如位置信息是外卖、打车等APP功能的前提),获取对应权限后,用户才有可能正常使用产品。今日头条App所获取的手机权限都一一对应具体的产品功能。例如谣言称今日头条取得的android.permission.ACCESS_FINE_LOCATION权限,可以获取用户的精准定位隐私。实际上,这是App用于本地频道的城市选择、发帖时显示当前位置等功能,属于主流App的标配功能。利用此权限,头条寻人等公益项目可以更精准地对走丢人员进行推送寻回。此技术,同时也广泛使用于绝大部分移动app上。
2、关于文章质疑的热修复,这是目前行业内的常用机制,主流App都在使用,用来修复软件bug以保证用户能够稳定使用App。头条采用的是业界开源并广泛使用的热修复方案, 仅用于头条App内的闪退问题修复,不会对手机系统和其他软件产生任何影响,不存在任何木马行为。
3、关于文章中质疑的热补丁可能被黑客劫持的问题,头条通过HTTPS协议传输并会验证补丁的数据完整性,只有经过完整验证的补丁才会生效。文章中的视频演示是造谣者自己篡改了手机的安全设置才出现的问题,用户正常使用的情况下并不会有安全问题。
4、今日头条已公证、保留证据,我们将向法律寻求包括名誉权在内的合法权益的保护。
5、今日头条欢迎广大用户、白帽子向我们提交今日头条产品和业务的安全漏洞情报,以帮助我们提升产品和业务的安全性。如有相关问题,请发送至security@bytedance.com,我们将会有专门的人员跟进处理,并将结果及时反馈给您。
参考来源:知乎、今日头条