今日頭條會被植入木馬？風險有，但普通黑客做不到

對於今日頭條竊取隱私的擔憂，早已不是一天兩天了。

早在今年1月，雷鋒網就曾對其麥克風獲取隱私進行過報道（點這裡），那時，關注隱私問題還局限於小部分網友的討論。

但隨著最近央視曝光今日頭條選擇性推送廣告的行為後（即有選擇地避開一線城市，將虛假廣告推送給二三線城市），對其竊取隱私的質疑開始成為越來越多人心中的問號。

昨日晚間（3月30日），知乎網友「劉一鳴」的一篇名為《今日頭條與木馬》的文章，更是將今日頭條的隱私獲取推向了風口浪尖，文章直言，「隨時對你進行定位，順帶記錄和識別你和別人的談話，外加無聲拍照，今日頭條都能做到。」（全文點這裡）

難不成我們真的生活在一個「楚門的世界」？是不是有點言過其實？

這位技術宅為了證明自己的判斷，直接亮出了分析過程，對今日頭條客戶端的 APK（安卓安裝包）進行分析。

劉一鳴認為，今日頭條作為一個客戶端，可以獲取其他客戶端夢寐以求的所有許可權，並且，它的熱補丁機制隨時可以運行木馬，由於今日頭條的熱補丁升級的HTTPS證書名優實現行業推薦的SSLpining，所以即使它自己不下發木馬，在不安全的Wi-Fi下極有可能被黑客利用，用戶安全存在巨大的隱患，尤其是一些涉密部門和設備。

針對這些尖銳的質疑，雷鋒網發現，31日晚間，今日頭條做出回應，稱對方利用普通用戶不了解技術，把行業通用的正常產品功能污衊為木馬行為，對今日頭條造成嚴重名譽損害。他們將拿起法律武器，起訴造謠行為。

今日頭條認為，App獲取手機部分許可權是App 正常運行的前提條件（如位置信息是外賣、打車等APP功能的前提），獲取對應許可權後，用戶才有可能正常使用產品，屬於主流App的標配功能。

對於文章中質疑的熱補丁可能被黑客劫持的問題，今日頭條認為視頻演示是造謠者自己篡改了手機的安全設置才出現的問題，用戶正常使用的情況下並不會有安全問題。（看今日頭條回應全文請移步文末）

那到底這款下載量過億的應用會不會被黑客劫持？

雷鋒網編輯在朋友圈的留言中，也看到對這個問題的探討。

某位安全研究專家對劉一鳴所提出的觀點提出質疑，認為這篇文章有誇大的地方。

文中說 HTTPS 沒加 SSL Pinning 機制，但這還是 HTTPS。那麼在不安全 Wi-Fi 里，攻擊者完成中間人植馬是如何做到的？

劉一鳴回應：

普通黑客很難做到，因為這需要CA簽發假證書，但這種事情在歷史上發生過，而且專門的組織完全有可能做到，比如說，國家行為。考慮到今日頭條的裝機量，利用熱補丁通道去下發木馬竊取文件或滲透內網（木馬熱補丁只需要一次，後續只要一起動就會連接，不需要在攻擊的網路環境中。最關鍵是用戶無感知且使用的官方安裝包），我認為是一個相當具有可行性的選擇。因此我才提示風險，建議涉密的部門禁止今日頭條，建議對自己隱私有要求的用戶卸載。不知這個回復是否可以接受。

換句話說，風險是有的，但是普通黑客做不到。

以下是今日頭條回應全文：

近日，名為「劉一鳴」的知乎賬號在該平台發文稱，「今日頭條就是一個功能強大的木馬」。此言論利用普通用戶不了解技術，把行業通用的正常產品功能污衊為木馬行為，對今日頭條造成嚴重名譽損害。我們將拿起法律武器，堅決起訴造謠行為。對此，今日頭條聲明如下：

2、關於文章質疑的熱修復，這是目前行業內的常用機制，主流App都在使用，用來修復軟體bug以保證用戶能夠穩定使用App。頭條採用的是業界開源並廣泛使用的熱修復方案, 僅用於頭條App內的閃退問題修復，不會對手機系統和其他軟體產生任何影響，不存在任何木馬行為。

3、關於文章中質疑的熱補丁可能被黑客劫持的問題，頭條通過HTTPS協議傳輸並會驗證補丁的數據完整性，只有經過完整驗證的補丁才會生效。文章中的視頻演示是造謠者自己篡改了手機的安全設置才出現的問題，用戶正常使用的情況下並不會有安全問題。

4、今日頭條已公證、保留證據，我們將向法律尋求包括名譽權在內的合法權益的保護。

參考來源：知乎、今日頭條

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！