今日头条在被央视曝光用“二跳”方式在三四线城市大量发布虚假医疗广告后,遭到了舆论的口诛笔伐。“二跳”余波未了,又有人在知乎上发布长文爆料称:今日头条客户端在设计上,就是一个功能强大的木马!
3月30日晚,信息安全从业者“刘一鸣”在知乎上发布了一篇长文《今日头条与木马》,贴出诸多证据表明:今日头条具有木马的一切能力。它可以做到窃取你手机里的机密文件,也可以做到随时对你进行定位,顺带记录和识别你和别人的谈话,外加无声拍照……总体来讲,只有它想不想做,没有它做不到。作者还建议,“考虑到今日头条并不自律,建议任何有信息安全要求的人和组织,卸载今日头条。”
如此严厉的指责今日头条,如果拿不出确凿的证据,必然会为自己带来大麻烦。因此,作者在文中贴出了诸多证据,“用技术说话”。例如,从信息安全的角度来讲,应用应仅取得必要的权限,但是今日头条基本把敏感权限都请求了。通过对今日头条客户端APK的分析结果,作者在文中贴出了一段很长的代码,显示了今日头条申请的权限。其中,里面有几个尤其敏感的:
android.permission.READ_CONTACTS 读取你手机里的联系人
android.permission.WRITE_EXTERNAL_STORAGE 使用你的SD卡
android.permission.RECEIVE_BOOT_COMPLETED 开机启动
android.permission.ACCESS_FINE_LOCATION 获取你的精确GPS坐标
android.permission.DOWNLOAD_WITHOUT_NOTIFICATION 后台下载
android.permission.CAMERA 使用你的摄像头
android.permission.READ_SMS 查看你手机里的短信
android.permission.RECEIVE_SMS 处理短信接收
android.permission.WRITE_SYNC_SETTINGS 同步你手机里的数据
android.permission.MANAGE_ACCOUNTS 管理你的手机账户
android.permission.RECORD_AUDIO 录音
android.permission.BLUETOOTH_ADMIN 进行蓝牙配对
可以说,基本上木马梦寐以求的各种权限,作为一个新闻客户端的今日头条都要了。接着,作者还就“申请了过多权限并不一定代表今日头条代码里会进行木马行为”说法进一步爆料:今日头条的许多功能都是通过热补丁按需下载安装的,而且不是按照用户的需要,而是按照今日头条的需要!
口说无凭,作者贴出了今日头条一个典型的热补丁列表, “robust_hotfix_for_66509”就是一段未加验证就加载的可执行代码。接着,作者还进行了模拟演示,贴出了下图的这个热补丁包,是一段单纯的二进制代码(DEX文件),没有任何保护。使用二次打包的方式,把它修改成木马代码,然后利用中间人,仿冒今日头条的服务端去下发这段代码(今日头条的服务端可以实现一模一样的事情,作者只是在冒充它的服务端)。作者使用的官方下载的今日头条客户端,仅仅是修改了网络请求,下发了木马热补丁,可见木马控制端已经连接。
同时,今日头条热补丁升级的HTTPS证书校验也并没有实现行业推荐的SSLpinning(也或许它就不重视安全),也就是说,即便今日头条不下发木马,你在不安全的WIFI下只要使用了今日头条,照样可能被黑客在手机里种上木马。
这就太严重了。苹果为什么会禁止热补丁,一个原因就是担心这样的情况发生。而今日头条却有能力随时下发一段代码,让手机里的客户端去执行。至于下发什么代码、给什么人下发、什么条件下下发,那完全能是看人下菜碟。就像被央视曝光的今日头条对三四线城市用户做的事情那样。
可以说,从今日头条客户端的设计上看,今日头条具有木马的一切能力,唯一的问题是,今日头条是否有作恶的意愿?作者对此表示悲观,“从今日头条选择性虚假广告上看,这并不是一个足够自律的企业,它是否能抵御用户隐私的诱惑呢?要打一个巨大的问号。但是即便今日头条能抵御诱惑,其客户端设计存在的安全问题,也给了别有用心的黑客太多的机会。”
作者认为,公众有必要知道,使用今日头条客户端存在严重的安全风险。他呼吁说,“在这个安全风险得到解决之前,建议涉密部门、涉密设备禁止安装今日头条客户端;建议禁止安装今日头条客户端的手机连入企业内网;建议对个人隐私有要求的用户卸载今日头条客户端。”
长文用技术说话,直指今日头条的“木马问题”。作者最后表示,“倘若厂商作恶,不要心存侥幸,因为有人会站出来,我们信息安全从业者众多,自会用我们的方式守护公众的安全。”
正如《新京报》此前所评论的,今日头条是时候正视自己的价值观,并接受来自用户和全社会的监督了!
