說到如今手機上的「免費應用」,可能很多朋友首先會想到的會是那些「免費下載、免費使用」,但要想提升使用體驗就得花錢,或氪金抽卡、或開通會員的常見套路。
但除了誘導用戶花錢之外,這些「免費應用」其實還有另外一種確實不需要用戶掏真金白銀的盈利模式,那就是通過廣告植入的方式來獲得收入。
比如在一些通常主打「休閑益智」類的游戲裏,就往往會見到這種「點擊廣告獲得更多遊戲道收益」的設計。除此之外,類似的情況還會在「點擊廣告看免費小說」、「點擊廣告領取免費會員權益」等應用中出現。儘管有些朋友可能會對這類「在廣告里插播App功能」的設計感到厭煩,覺得還不如直接掏錢省事,但從另一個角度來說,似乎也確實可以認為它們是要比「氪金應用」更加純粹的「免費」,至少對於部分用戶來說如此。
然而真的是這樣嗎?
最近,有黑客入侵了數據分析公司Gravy Analytics的服務器,並公布了他們所獲得的部分文件。在這些文件顯示,至少有數千款App都受到了這家公司的變相「監控」,使用這些App會被追蹤位置,並且用戶對此幾乎毫不知情。而用戶的位置數據最終會被賣給Gravy Analytics或其他類似的公司,但至於他們具體要如何「使用」這些不同用戶的位置數據,就沒人能說得清了。
需要注意的是,數據公司並沒有篡改這些軟件,他們也並不是與開發者合作、從而有意地植入這些代碼。根據進一步的技術分析發現,安全漏洞實際上就出在了那些「插播」的廣告里。
這是什麼概念呢?簡單來說,在此次事中,所有的涉事App在被「編寫」出來時都是乾淨的,它們的開發者或是背後公司並沒有任何惡意。但問題在於,這些App普遍選擇了預留廣告推送接口,以便於彈出廣告內容來藉此牟利(這可能是他們唯一的盈利方式)。
問題就在於,他們(軟件開發者)沒法控制自己的軟件會收到哪些具體的廣告「推送」。於是在惡意的廣告商、以及他們背後相關企業的勾結下,帶有惡意跟蹤代碼的廣告被推送到了原本正常的軟件里,將其變成了跟蹤用戶、竊取他們隱私數據的幫凶。
App開發者或許是無辜的,但用戶又該如何防範呢
而且這種隱藏在廣告推送數據里的惡意代碼最「厲害」的地方就在於,因為它是在軟件安裝、並且要運行一段時間之後,才可能伴隨着某一次的廣告推送數據而侵入用戶的手機。所以它們可以繞過目前已知的所有應用商店審核,也能瞞過如今智能手機在安裝App時的安全掃描機制。甚至由於這些惡意代碼是基於廣告推送來進行「植入」,因此當然也可以通過再一次的推送來「自我消滅」。從而不留下任何可被安全軟件察覺的「痕迹」,只將已經收集到的用戶隱私數據傳送到它不該去的地方。
說了這麼多,那麼站在消費者的角度來說,難道就完全沒有辦法去防範這種基於廣告推送的惡意軟件了嗎?
一方面,理論上大家當然可以通過頻繁使用手機上的安全管家進行掃描、從而發現「被推送」的惡意代碼,或者乾脆禁止一些軟件的聯網、存儲權限,就可以直接阻止它們被推送包含病毒的廣告。
但從另一方面來說,完全指望依靠用戶自己來防範這類「病毒推送」顯然既不現實、也不道德。正如參與調查上述事件的部分網絡安全人士所說的那樣,真正的關鍵還是在於對廣告公司、相關企業的監管。而無論是(對非法推送內容並不知情的)App開發者,還是隱私數據因此泄露、並且被拿去販賣的用戶,顯然都是受害方。
【本文圖片來自網絡】
