那些掛羊頭賣狗肉的公司
大數據公司
很多大數據公司,其實就是違規的利用網絡爬蟲,爬取大量用戶信息,再來販賣,嚴重侵犯用戶隱私。國家之前也在建立完善的制度整治,之前我微信分享過。但是你知道還有別公司利用其他途徑獲取用戶信息嗎?
App
pc網站,電腦病毒,遠程控制,手機系統啥的獲取用戶信息咱就不說了,說說我們用戶率超高的app。手機大家天天用,幾乎達到了魚兒離不開水,低頭族離不開手機的狀態,這麼難捨難分還不是因爲那些App。但一些App會收集用戶信息相信大家早有所耳聞,不清楚可以看下《App個人信息泄露情況調查報告》。說說這就有點老生常談了,今天我想說下一些app背後的三方。
privateCode + ThirdCode = App
privateCode指的是開發這款App開發者寫的代碼,ThirdCode指的是開發這款App開發者用到的別人的代碼。現在市面上98%的App都是這樣組成。
privateCod:一些app本身代碼就是收集用戶信息,這樣app如果將信息用於正途還好說,不用於正途就是耍流氓,勸裸奔的你千萬擦亮眼不要用了。至於沒做好信息安全,泄漏用戶信息的。估計公司就要開猿節流,滋猿奇說了。
好,遠離了本身自帶流氓氣質代碼的App,作爲用戶以爲你就安全了嗎,tooNative!!!。做爲開發者你以爲你用了信息加密,外加公司花了幾十萬買三方安全控件,確保app就安全了嗎,更何況還有大把沒有流氓氣質代碼也沒做啥安全的app安全嗎!tooNative!!
ThirdCode:自己代碼安全了,代碼混淆通信加密,還做了外部防砸殼,就安全嗎(那些沒做的,就是讓用戶在刀尖上跳舞,還是裸舞)。我們似乎忽略很重要一點,內部的ThirdCode。現在很多app會用到一些三方提供的SDK,你可以理解爲封裝好開箱即用的工具包。比如什麼分享,即時通信,地圖,語音識別,圖像識別等等,還有一些用戶沒見過的,比如三方統計埋點(運營用的多,統計用戶行爲信息),崩潰收集(開發者用的多,統計app異常和卡頓等)等。這些就安全嗎?
talk is cheap, show me the code
舉個例子:我在研究app卡頓優化,自己寫了個demo接入三方SDK,你猜我發現了什麼?
來我解釋下,這個Growing幹啥的呢,對了,據說某公司花了一二十萬買的這個三方SDK用來做統計埋點。統計埋點就是記錄用戶行爲信息。統計埋點就統計埋點嗎,你幹啥統計我的輸入框幹啥,何況輸入框我又沒埋點。三方代碼我看不了,我大膽猜測,你他媽不會想統計下我自己寫的demo輸入框輸了啥吧。細思極恐(反編譯應該能透視下他裏面到底幹了啥)。還好我們公司App花了幾十萬買的三方安全鍵盤控件,還好我們公司App沒接Growing
再舉個例子:我自己寫個demo,接入三方分享,你猜我發現什麼?
來我解釋下,我寫的demo我接入了分享SDK,就是能分享到這微信,微博什麼那個分享。檢測卡頓,發現了分享三方代碼裏有[UMLocation createLocationManager] ,這是啥呢,從部分英文可以猜測,這是定位。你說你一個三方分享,你搞定位幹啥,你想幹啥。別告訴我你就是隨便寫寫代碼,隨便寫了個帶location定位的字段,其實不是定位是別的意思。你隨便搞搞也就搞搞,還把我demo搞卡頓了你說氣人不氣人。然後一見卡頓,如見廬山真面目!
那這些三方sdk提供方,都是什麼公司呢,不好說人微言輕嗎。那他們搞這些幹嘛呢,不好說“燕雀安知鴻鵠之志”。那說這些幹嘛呢,我只是想告訴大家,世界很美好,有些App很好,開發者也很努力的做好,但是避免不了一些三方的勾心鬥角,希望這些三方能有些良知,收集到的信息用於正途,確保不會泄漏。也提醒我儘量避免三方,將app的code掌握在自己手裏,爲用戶的信息安全保駕護航。給用戶提供更優質的用戶體驗。