您的位置: 首頁 > 新聞 > 時事焦點 > 新聞詳情

今日頭條會被植入木馬?風(fēng)險有 但普通黑客做不到

時間:2018-04-01 20:32:30
  • 來源:網(wǎng)絡(luò)
  • 作者:Deego
  • 編輯:Deego

最近有報道稱今日頭條可以去的許多用戶權(quán)限,甚至可以植入木馬,今天今日頭條對此作出聲明:風(fēng)險是有的,但是普通黑客做不到。

但隨著最近央視曝光今日頭條選擇性推送廣告的行為后(即有選擇地避開一線城市,將虛假廣告推送給二三線城市),對其竊取隱私的質(zhì)疑開始成為越來越多人心中的問號。

昨日晚間(3月30日),知乎網(wǎng)友“劉一鳴”的一篇名為《今日頭條與木馬》的文章,更是將今日頭條的隱私獲取推向了風(fēng)口浪尖,文章直言,“隨時對你進(jìn)行定位,順帶記錄和識別你和別人的談話,外加無聲拍照,今日頭條都能做到?!保ㄈ狞c這里)

難不成我們真的生活在一個“楚門的世界”?是不是有點言過其實?

這位技術(shù)宅為了證明自己的判斷,直接亮出了分析過程,對今日頭條客戶端的 APK(安卓安裝包)進(jìn)行分析。

今日頭條會被植入木馬?風(fēng)險有 但普通黑客做不到

劉一鳴認(rèn)為,今日頭條作為一個客戶端,可以獲取其他客戶端夢寐以求的所有權(quán)限,并且,它的熱補丁機制隨時可以運行木馬,由于今日頭條的熱補丁升級的HTTPS證書名優(yōu)實現(xiàn)行業(yè)推薦的SSLpining,所以即使它自己不下發(fā)木馬,在不安全的Wi-Fi下極有可能被黑客利用,用戶安全存在巨大的隱患,尤其是一些涉密部門和設(shè)備。

針對這些尖銳的質(zhì)疑,雷鋒網(wǎng)發(fā)現(xiàn),31日晚間,今日頭條做出回應(yīng),稱對方利用普通用戶不了解技術(shù),把行業(yè)通用的正常產(chǎn)品功能污蔑為木馬行為,對今日頭條造成嚴(yán)重名譽損害。他們將拿起法律武器,起訴造謠行為。

今日頭條認(rèn)為,App獲取手機部分權(quán)限是App 正常運行的前提條件(如位置信息是外賣、打車等APP功能的前提),獲取對應(yīng)權(quán)限后,用戶才有可能正常使用產(chǎn)品,屬于主流App的標(biāo)配功能。

對于文章中質(zhì)疑的熱補丁可能被黑客劫持的問題,今日頭條認(rèn)為視頻演示是造謠者自己篡改了手機的安全設(shè)置才出現(xiàn)的問題,用戶正常使用的情況下并不會有安全問題。(看今日頭條回應(yīng)全文請移步文末)

那到底這款下載量過億的應(yīng)用會不會被黑客劫持?

某位安全研究專家對劉一鳴所提出的觀點提出質(zhì)疑,認(rèn)為這篇文章有夸大的地方。

文中說 HTTPS 沒加 SSL Pinning 機制,但這還是 HTTPS。那么在不安全 Wi-Fi 里,攻擊者完成中間人植馬是如何做到的?

劉一鳴回應(yīng):

普通黑客很難做到,因為這需要CA簽發(fā)假證書,但這種事情在歷史上發(fā)生過,而且專門的組織完全有可能做到,比如說,國家行為。考慮到今日頭條的裝機量,利用熱補丁通道去下發(fā)木馬竊取文件或滲透內(nèi)網(wǎng)(木馬熱補丁只需要一次,后續(xù)只要一起動就會連接,不需要在攻擊的網(wǎng)絡(luò)環(huán)境中。最關(guān)鍵是用戶無感知且使用的官方安裝包),我認(rèn)為是一個相當(dāng)具有可行性的選擇。因此我才提示風(fēng)險,建議涉密的部門禁止今日頭條,建議對自己隱私有要求的用戶卸載。不知這個回復(fù)是否可以接受。

換句話說,風(fēng)險是有的,但是普通黑客做不到。

以下是今日頭條回應(yīng)全文:

近日,名為“劉一鳴”的知乎賬號在該平臺發(fā)文稱,“今日頭條就是一個功能強大的木馬”。此言論利用普通用戶不了解技術(shù),把行業(yè)通用的正常產(chǎn)品功能污蔑為木馬行為,對今日頭條造成嚴(yán)重名譽損害。我們將拿起法律武器,堅決起訴造謠行為。對此,今日頭條聲明如下:

2、關(guān)于文章質(zhì)疑的熱修復(fù),這是目前行業(yè)內(nèi)的常用機制,主流App都在使用,用來修復(fù)軟件bug以保證用戶能夠穩(wěn)定使用App。頭條采用的是業(yè)界開源并廣泛使用的熱修復(fù)方案, 僅用于頭條App內(nèi)的閃退問題修復(fù),不會對手機系統(tǒng)和其他軟件產(chǎn)生任何影響,不存在任何木馬行為。

3、關(guān)于文章中質(zhì)疑的熱補丁可能被黑客劫持的問題,頭條通過HTTPS協(xié)議傳輸并會驗證補丁的數(shù)據(jù)完整性,只有經(jīng)過完整驗證的補丁才會生效。文章中的視頻演示是造謠者自己篡改了手機的安全設(shè)置才出現(xiàn)的問題,用戶正常使用的情況下并不會有安全問題。

4、今日頭條已公證、保留證據(jù),我們將向法律尋求包括名譽權(quán)在內(nèi)的合法權(quán)益的保護(hù)。

0

玩家點評 0人參與,0條評論)

收藏
違法和不良信息舉報
分享:

熱門評論

全部評論
他們都在說 再看看
3DM自運營游戲推薦 更多+