原标题:今日头条会被植入木马?风险有,但普通黑客做不到
对于今日头条窃取隐私的担忧,早已不是一天两天了。
早在今年1月,雷锋网就曾对其麦克风获取隐私进行过报道(点这里),那时,关注隐私问题还局限于小部分网友的讨论。
但随着最近央视曝光今日头条选择性推送广告的行为后(即有选择地避开一线城市,将虚假广告推送给二三线城市),对其窃取隐私的质疑开始成为越来越多人心中的问号。
昨日晚间(3月30日),知乎网友“刘一鸣”的一篇名为《今日头条与木马》的文章,更是将今日头条的隐私获取推向了风口浪尖,文章直言,“随时对你进行定位,顺带记录和识别你和别人的谈话,外加无声拍照,今日头条都能做到。”(全文点这里)
难不成我们真的生活在一个“楚门的世界”?是不是有点言过其实?
这位技术宅为了证明自己的判断,直接亮出了分析过程,对今日头条客户端的 APK(安卓安装包)进行分析。
刘一鸣认为,今日头条作为一个客户端,可以获取其他客户端梦寐以求的所有权限,并且,它的热补丁机制随时可以运行木马,由于今日头条的热补丁升级的HTTPS证书名优实现行业推荐的SSLpining,所以即使它自己不下发木马,在不安全的Wi-Fi下极有可能被黑客利用,用户安全存在巨大的隐患,尤其是一些涉密部门和设备。
针对这些尖锐的质疑,雷锋网发现,31日晚间,今日头条做出回应,称对方利用普通用户不了解技术,把行业通用的正常产品功能污蔑为木马行为,对今日头条造成严重名誉损害。他们将拿起法律武器,起诉造谣行为。
今日头条认为,App获取手机部分权限是App 正常运行的前提条件(如位置信息是外卖、打车等APP功能的前提),获取对应权限后,用户才有可能正常使用产品,属于主流App的标配功能。
对于文章中质疑的热补丁可能被黑客劫持的问题,今日头条认为视频演示是造谣者自己篡改了手机的安全设置才出现的问题,用户正常使用的情况下并不会有安全问题。(看今日头条回应全文请移步文末)
那到底这款下载量过亿的应用会不会被黑客劫持?
雷锋网编辑在朋友圈的留言中,也看到对这个问题的探讨。
某位安全研究专家对刘一鸣所提出的观点提出质疑,认为这篇文章有夸大的地方。
文中说 HTTPS 没加 SSL Pinning 机制,但这还是 HTTPS。那么在不安全 Wi-Fi 里,攻击者完成中间人植马是如何做到的?
刘一鸣回应:
普通黑客很难做到,因为这需要CA签发假证书,但这种事情在历史上发生过,而且专门的组织完全有可能做到,比如说,国家行为。考虑到今日头条的装机量,利用热补丁通道去下发木马窃取文件或渗透内网(木马热补丁只需要一次,后续只要一起动就会连接,不需要在攻击的网络环境中。最关键是用户无感知且使用的官方安装包),我认为是一个相当具有可行性的选择。因此我才提示风险,建议涉密的部门禁止今日头条,建议对自己隐私有要求的用户卸载。不知这个回复是否可以接受。
换句话说,风险是有的,但是普通黑客做不到。
以下是今日头条回应全文:
近日,名为“刘一鸣”的知乎账号在该平台发文称,“今日头条就是一个功能强大的木马”。此言论利用普通用户不了解技术,把行业通用的正常产品功能污蔑为木马行为,对今日头条造成严重名誉损害。我们将拿起法律武器,坚决起诉造谣行为。对此,今日头条声明如下:
1、App获取手机部分权限是App 正常运行的前提条件(如位置信息是外卖、打车等APP功能的前提),获取对应权限后,用户才有可能正常使用产品。今日头条App所获取的手机权限都一一对应具体的产品功能。例如谣言称今日头条取得的android.permission.ACCESS_FINE_LOCATION权限,可以获取用户的精准定位隐私。实际上,这是App用于本地频道的城市选择、发帖时显示当前位置等功能,属于主流App的标配功能。利用此权限,头条寻人等公益项目可以更精准地对走丢人员进行推送寻回。此技术,同时也广泛使用于绝大部分移动app上。
2、关于文章质疑的热修复,这是目前行业内的常用机制,主流App都在使用,用来修复软件bug以保证用户能够稳定使用App。头条采用的是业界开源并广泛使用的热修复方案, 仅用于头条App内的闪退问题修复,不会对手机系统和其他软件产生任何影响,不存在任何木马行为。
3、关于文章中质疑的热补丁可能被黑客劫持的问题,头条通过HTTPS协议传输并会验证补丁的数据完整性,只有经过完整验证的补丁才会生效。文章中的视频演示是造谣者自己篡改了手机的安全设置才出现的问题,用户正常使用的情况下并不会有安全问题。
4、今日头条已公证、保留证据,我们将向法律寻求包括名誉权在内的合法权益的保护。
5、今日头条欢迎广大用户、白帽子向我们提交今日头条产品和业务的安全漏洞情报,以帮助我们提升产品和业务的安全性。如有相关问题,请发送至security@bytedance.com,我们将会有专门的人员跟进处理,并将结果及时反馈给您。
,今日头条会伪物语 被植入木马?风险有,但普通黑客做不到相关:
专访NLP前辈黄昌宁先生,每一阶段都是常人难以企及的辉煌原标题:专访NLP前辈黄昌宁先生,每一阶段都是常人难以企及的辉煌 黄昌宁先生,作为我国自然语言处理领域的先行者之一,在过去近四十年的时间里为我国自然语言处理的发展做出了杰出的贡献。2017 年 11 月,中国计算机学会(CCF)在第六届自然语言处理及中文计算会议(NLPCC 2017)上将首届「杰出贡献奖」授予黄昌宁先生。 近日,雷锋网有幸去黄昌宁先生家中拜访。黄先生今年已 81 岁高龄,但仍然精神..
为博“抖友”点赞 男子开车兜风连抠10余个奔驰车标奔驰车标能用来干嘛?最近网上有个视频火了……装饭菜、水果、坚果……你以为只是个段子,可没想到现实生活中真的有人这么干了……3月28日中午,浙江永康西城派出所的民警们开始在朋友圈寻找丢失奔驰车标的车主,这些奔驰车标都是早上刚刚从犯罪嫌疑人小郭家中搜出来的。得知车标在西城派出所后,永康市民舒某匆匆前来认领,舒某说自己奔驰车的车标什么时候不见了,还真没留意……还有几位车主也是闻讯赶到派出所来认领车标的那..
英拉兄妹日本樱花树下开心自拍 称没想好是否回国泰国前总理英拉及其兄长他信日前被指现身日本。(图源:NHK)原标题:英拉兄妹日本樱花树下开心自拍 称没想好是否回国海外网4月1日电 泰国前总理英拉去年8月因“大米收购案”逃亡国外,此后陆续有媒体曝光她“飘忽不定的”行踪。有媒体日前又爆料,英拉及其兄长他信3月29日现身日本,兄妹两人在东京出席了日本前自治大臣石井一的新书发布会。据日本NHK报道,英拉及其兄长他信于3月29日下午乘坐私人飞机抵达日本东京,并于当晚..
美韩今日启动“鹞鹰”军演 美军减少向半岛出动战略武器美军“黄蜂”号两栖攻击舰。原标题:美韩今日启动“鹞鹰”军演,美军减少向半岛出动战略武器在朝鲜半岛局势正在发生变化之际,新一轮美韩军演今日悄然开启。据韩联社报道,韩美两国1日启动代号为“鹞鹰”(FE)的联合军演。“鹞鹰”为野战训练演习,美方出动1.15万人参演,韩方出动30万人。此次演习的亮点是1至8日进行的“双龙”联合登陆演习。韩美每逢双数年进行双龙演习。美军首次为参加双龙演习向半岛海域同时出动两栖攻击舰“..
泰姬陵开始限时游览:购票最多逗留3小时原标题:游客参观泰姬陵时间不得超3小时据俄罗斯卫星网31日消息,为避免出现大批游客聚集现象,印度政府计划将游客参观泰姬陵的时间限制在3小时内。美国有线电视新闻网(CNN)援引印度考古管理部门代表迪姆利的话报道称,此举旨在调节客流,“为了避免发生不幸事件。”报道称,参观时间受限的举措将于4月1日正式生效,该举措不仅针对外国游客,也针对本地人。迪姆利还透露,印度政府目前不会限制参观泰姬陵的人数,但已对未来限制..
西安明城墙内不新增居住用地,历史文化区疏散3万人原标题:西安明城墙以内不再新增居住用地,重点历史文化区疏散3万人新华社西安4月1日电,为进一步疏解西安市中心城区过密的建筑和人口,延续城市文脉、保护文化遗产,西安市政府近日出台一项规划管理意见,明城墙以内严格按照规划的居住用地建设住宅,不再新增居住用地。根据新印发的《西安市进一步加强重点历史文化区域管控疏解人口降低密度的规划管理意见》, 西安市重点历史文化区域管控范围划分明清历史文化区、隋唐历史文..
欧足联又来中国拉赞助商,然而看球的人变少了原标题:欧足联又来中国拉赞助商,然而看球的人变少了━━━━━━我们和欧足联市场总监爱泼斯坦聊了聊。文| 韩洪刚欧足联又来中国兜售他们的新产品。近日,欧足联在北京专门召开发布会,推介新赛事“欧洲国家联赛”。赛事将于今年9 月开始,一直持续到明年6 月。欧足联市场总监爱泼斯坦表示,在世界杯和欧洲杯的空档期里,他们希望球迷能欣赏更多精彩的国家队赛事。“我们这儿还有两个赞助商名额。”爱泼斯坦也向中国公司喊..
终于等到你!微信放大招,以后生活和工作可以分开了!周末踏青?别忘转发赚奖金【转发挣20元】周末玩嗨了,千万不要忘了分享赚奖金!终于等到你!微信放大招,以后生活和工作可以分开了!从企业微信发出去的消息,微信好友居然也能收到?跨越两个产品的消息互通会是什么样?3月30日,企业微信—微信消息互通功能正式开放内测,企业员工可以通过企业微信与客户微信添加好友,并发送单聊消息。大家期盼已久的企业专属内外部连接器,终于来了。员工再也不用通过个人微信处理工作对于服..
易到调整业务模式:对司机免佣金并阶梯返利凤凰网科技讯 (作者/二维马)4月1日消息,易到宣布将对公司现有业务模式进行一系列调整,包括免除车主佣金、改善出行体验、实行阶梯返利、下调乘车资费等,打破网约车传统的佣金模式。易到母公司韬蕴资本CEO温晓东表示,随着人们收入水平的提升,越来越多个性化的出行需求将会产生,此次业务模式的调整正是为了适应这样的行业发展趋势。温晓东表示,网约车发展8年来,一直以收取佣金为主要盈利模式,目前全行业过多注重了价格..
如果一生只读一本村上春树,那就是《刺杀骑士团长》原标题:如果一生只读一本村上春树,那就是《刺杀骑士团长》 | 36氪领读周末早,不知不觉,2018已经过去了四分之一,相信很多小伙伴在年初都立下了读书的flag,现在你的读书计划进行的怎么样了呢?新的一年,每个人都希望自己能有所进步,为了这个小目标,36氪为大家开设了一个新的栏目【36氪领读】。未来每周日的早上,我们都会你推荐一本值得读的书,并提供一些书摘,希望我们都能坚持下去,让自己在今年有所收获。内容简介历..