在食品安全方面,辛吉飞可谓是掀起了一阵看食品配料表的风潮。我很震惊,原来我们吃了这么多年的食物,居然有这么多和“我以为”不相符的地方。但是,这一切在他们业内,却早已是习以为常的东西。
于是,我就在想,在我所处的IT界,有没有我习以为常,同时也会让你很震惊的事情。所以,我就选取了新闻和媒体经常提到的,关于手机隐私安全的问题,再做一个更细致的科普。借此也希望大家,在安装软件的时候,可以看一眼权限的“配料表”。
一、权限是什么?你花了半辈子的钱,买了一套房子,是要结婚用的,肯定不允许别人随便用。于是,你给房门按上了锁,除了你,别人都没有钥匙。
后来,你媳妇搬进来了。你给她一把钥匙,于是她就能进出这套房子了。对于这套房子的操作,除了换房产证,媳妇几乎是可以代替你做决定的。
后来,你媳妇的姑妈来了,姑妈也可以在你家住,但是基本上都是你给开门,因为她住两天就走。
再后来,你妹妹要来你家里住一个暑假,兼职打工。为了方便,你给妹妹一把钥匙,方便她出入。等她开学了,你就会把钥匙收回来。
上面的例子中,不同的人对于房子的使用,体现出了不同的权限。你拥有所有权,媳妇拥有共有权,亲戚拥有临时使用权。
之所以要有这些权限,其实是为了方便管理和降低风险。你需要让送冰箱的工人进入你家,完成安装和调试,但是没有必要给他一把钥匙。
其实,你手里的手机也一样。“微信”、“支付宝”、“今日头条”、“抖音”这些App都住在手机这座大房子里。它们想要干什么,比如往手机里保存个文件,是需要权限的。而你就是手机的主人,负责对权限进行审核,是给它一把钥匙,还是只给它开一次门,这全看你怎么做。
但是,当软件申请权限的时候,或许你根本不看,或者看了也不明白,当时只顾着点击确定了。
下面,我就介绍其中一个权限,相信看完后,你再也不敢随便点击确定了。
二、通知使用权为了更形象地介绍这个权限的威力,我做了一个小例子。这个例子是完全真实可以用的,也有源码可以运行,此例子可运行在安卓手机中。
我们就模拟3·15晚会的套路,从情景模式代入知识讲解。
2.1 场景还原假设你安装了一个App软件,这个软件弹出了几个框,请求使用各种权限,其中有一个框提示你:请打开通知使用权的开关。你也照做了,很简单,就是滑一个按钮。
点开这个开关,这就相当于布下渔网了。
下面我们正常使用手机。不需要很长时间,我们来收网,看看都捉到了什么鱼。打开软件,给大家展示一下。
看看捕获到的信息,我给大家列一列:
权限名称 | 一般操作 |
聊天类 | 微信、QQ、钉钉的聊天信息,包含几点和谁聊,聊的具体内容,甚至整个群聊里每个人的发言 |
电话类 | 已接来电信息、已拨号码信息、未接电话信息 |
短信类 | 收到短信的信息,发件人、时间、短信内容(包含验证码) |
操作类 | 手机插上充电线、断开充电线、解锁屏幕、打开文件传输 |
就问你怕不怕,这些数据都能拿到,这要是上传到云端……
有朋友可能要夸我了,他说,哎呀,不得了,这个ITF男孩的技术真厉害,得到达黑客级别了。
我说,你别闹了,这个操作类比到武术领域,连个劈叉都算不上。
这个功能调用的是安卓系统官方的接口。也就是说,它并不是什么攻击或者入侵,是官方公开的一个正规的插口(业内叫接口)。就像插座一样,安卓系统提供一个凹槽,只要用户授权,任何一个App都可以插入,都可以读取到这些信息。而且提前问过了你,也说得很明白,我帮你回忆一下。
