域名預(yù)訂/競價，好“米”不錯過

在今年互聯(lián)網(wǎng)凜冬來臨的時候，整個圈子卻火了一把，互聯(lián)網(wǎng)眾諸侯（頭條、王欣、羅永浩）組成“復(fù)仇者聯(lián)盟”紛紛做起了IM，并在同一天發(fā)布新產(chǎn)品，不過企鵝帝國深知“星星之火，可以燎原”，三個產(chǎn)品剛問世，企鵝帝國就以“迅雷不及掩耳之勢”，憑借強大產(chǎn)品矩陣將其在各個渠道封殺，撕逼大戰(zhàn)正式開始。

吃瓜群眾一邊是感嘆騰訊的胸襟，一邊是評論新IM的產(chǎn)品體驗，突然之間我又看到了一篇自媒體叫“今日”無隱私，“頭條”在監(jiān)控?，突然來了靈感，何不調(diào)查一下整個互聯(lián)網(wǎng)究竟是誰家的APP在監(jiān)控這大眾的隱私。

眾多的APP一會申請用戶通訊錄權(quán)限，一會又要申請讀取通話記錄權(quán)限等等，這些申請的權(quán)限往往和實現(xiàn)相關(guān)功能或獲取相關(guān)數(shù)據(jù)有關(guān)，究竟我們常用的APP需要申請了多少權(quán)限?哪家的APP申請的權(quán)限更多?小編我準(zhǔn)備對此做一下調(diào)查，讓大家真正的了解誰才是惡人。

一、開土動工，調(diào)研四大派系

江湖傳言互聯(lián)網(wǎng)一直存在BAT(百度、騰訊、阿里)、TMD(頭條、美團、滴滴)派系，那么就在TOP1000的APP排行榜單上全部下載這個幾個派系的產(chǎn)品，發(fā)現(xiàn)其實美團、滴滴派系產(chǎn)品相對四大家族百度、騰訊、阿里、頭條較少，那我調(diào)研的對象就直接對準(zhǔn)四大家族吧，畢竟他們基本代表了中國互聯(lián)網(wǎng)的發(fā)展水平。

騰訊派系： 微信、QQ、應(yīng)用寶、騰訊WiFi管家、手機管家等;

阿里派系： 手機淘寶、天貓、UC頭條、優(yōu)酷、支付寶等;

百度派系： 百度錢包、百度文庫、手機百度、百度網(wǎng)盤、百度地圖等;

頭條派系： 今日頭條、抖音、西瓜視頻、火山小視頻、懂車帝、Faceu激萌、悟空問答等。

二、沒有最多，只有更多

在各個APP的AndroidManifest.xml中將申請的權(quán)限都提取出來做統(tǒng)計，因為發(fā)現(xiàn)自定義的權(quán)限實在太多了，所以這里僅過濾了Android原生的權(quán)限，然后各取前七名然后做一個排行。

從申請android權(quán)限個數(shù)來看，騰訊系的APP 應(yīng)用寶、騰訊WiFi管家、手機管家等均排在前列，申請的android權(quán)限數(shù)量達到了60~70個權(quán)限，而頭條系的APP android權(quán)限申請數(shù)量普遍比較少，今日頭條、火山小視頻等幾乎只有騰訊系前三甲的一半。市面上一些APP往往會申請很多與APP本身功能無關(guān)的權(quán)限，從而獲取更多用戶信息或數(shù)據(jù)，從上圖權(quán)限申請的情況來看：騰訊還是那么“拔尖”，頭條相對其他家，可謂是圈中清流、業(yè)界良心。

我將數(shù)據(jù)做了分類，將一些涉及用戶信息(通訊錄、短信、通話記錄等)的權(quán)限標(biāo)記為敏感權(quán)限，做了一個比較直觀雷達圖，結(jié)果似乎出乎意料卻又在意料之中。

三、流氓的背后是用戶信息的裸奔

App申請了這么多權(quán)限但是真的是功能需要嗎?于是我搞了一個簡單的代碼掃描，粗略的掃了一下一些相關(guān)的API調(diào)用。

1. 獲取通訊錄聯(lián)系人

“獲取通訊錄聯(lián)系人”相關(guān)功能。通過代碼掃描發(fā)現(xiàn)，將近一半的APP，比如微信、手機管家、騰訊WiFi管家、錢盾、釘釘、菜鳥裹裹、百度地圖、百度貼吧等均有獲取用戶通訊錄的行為，以下是通過反編譯手機管家APP，發(fā)現(xiàn)的代碼中讀取通訊錄相關(guān)的代碼。

微信、釘釘獲取通訊錄聯(lián)系人我們可以理解，手機管家、騰訊WiFi管家、百度地圖等需要這個干嘛呢?其實都是利益使然，手機APP調(diào)取用戶部分隱私信息成為常態(tài)現(xiàn)象，通過收集該部分信息也有利于應(yīng)用為用戶提供更好的服務(wù)體驗。但部分企業(yè)的APP對用戶權(quán)限調(diào)取存在疑似越界現(xiàn)象，該種行為對用戶隱私造成侵犯，網(wǎng)絡(luò)隱私不應(yīng)該成為企業(yè)牟利工具。

2. Root提權(quán)功能

獲取隱私什么的大家估計都快習(xí)慣了，所以我想到了一個更加刺激的東西，就是root!為此，我寫了一個小程序，就是循環(huán)判斷是否有進程獲取了root權(quán)限，然后找了一些朋友，把這東西放到他們手機里邊做監(jiān)控。root權(quán)限大家使用的還是比較少的，不會把APP做的跟病毒似的。

最后監(jiān)控到的APP有：Kingroot、凈化大師、騰訊手機管家、Baidu 輸入法、百度刷機存在該功能。

root提權(quán)是非常有風(fēng)險的APP行為，一旦提權(quán)成功以后，該APP可以進行很多風(fēng)險操作，如獲取其他應(yīng)用的數(shù)據(jù)，篡改系統(tǒng)文件，修改系統(tǒng)。

讓我比較費解(其實也正常，繼承了百度一貫的作風(fēng)，畢竟我記得三年前百度系應(yīng)用還留過后門)的是Baidu輸入法，居然也會root?而測試的頭條系相關(guān)的抖音、火山、今日頭條等均未有發(fā)現(xiàn)有提權(quán)相關(guān)行為，還是上面的那句話，頭條在業(yè)界算是良心派系。

四、監(jiān)管刻不容緩

國家監(jiān)管部門對于市場上各個APP的權(quán)限申請也一直在做各種各樣的監(jiān)管，其目標(biāo)就是使得APP不要過多地申請與本身功能無關(guān)的權(quán)限，從而更好地保護用戶隱私和用戶敏感數(shù)據(jù)。

2017年頒布實施的《網(wǎng)絡(luò)安全法》也明確指出“網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意;涉及用戶個人信息的，還應(yīng)當(dāng)遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定”，國家也不斷的加強監(jiān)控，但是作為這些巨頭互聯(lián)網(wǎng)在APP開發(fā)和發(fā)布上也應(yīng)該嚴(yán)格控制權(quán)限的申請，遵守國家規(guī)定，用戶在使用的時候也應(yīng)該謹(jǐn)慎授權(quán)。

*本文作者：TopSec123，轉(zhuǎn)載請注明來自FreeBuf.COM

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！