文章图片
▲
图片来自:Brett Jordan / Unsplash
先来谈谈局域网攻击 。 我们在家里、公共场所里用的 Wi-Fi 网络 , 一般都需要先连接到局域网 , 才能连接到互联网 。 如果将局域网看作一个小镇 , 那么接入 Wi-Fi 中的设备就是小镇中的其他居民 。 本来居民之间互相相安无事 , 大家各自出城(到互联网)办自己的事 , 但有一些居民却不怀好意 , 四处打探别人家的房子(扫描局域网内设备和开放端口) , 看是不是危房(寻找漏洞) , 然后企图进行攻击 。
然后是用户画像 。 越来越多的智能设备支持与手机联动 , 其中有许多设备的连接方式是 Wi-Fi 。 同样是局域网扫描 , 比漏洞更吸引广告商的 , 就是这些设备的型号、制造商和 MAC 地址(设备硬件地址) 。 广告商可以利用它获知你购买过什么电子产品 , 甚至判断你和谁住在一起、去过哪些公共场所 , 以此进行更精准的广告投放和推销 。
目前 , iOS 14 已经支持 app 对局域网访问的权限控制 , 你可以在设置中的「隐私」>「本地网络」找到它 。 如果不是智能家居、智能硬件配套的 app , 或是没有投屏功能的 app , 通常而言并不需要开启这项权限 。 这样就能有效避免绝大多数恶意 app 攻击、探测同一 Wi-Fi 下的网络设备 。
文章图片
文件系统
如果你是大陆 Android 玩家 , 你很可能早已对「放任自流」的文件系统见怪不怪 。 由于 Android 上并没有采用 iOS 那样严格的「文件沙盒」机制 , 使得 app 可以将文件存储在所有 app 共享的同一个外部目录中 。
在 Android 还没有收紧权限的 4.x 年代 , 许多应用就已经在滥用这个功能:这些 app 以存储用户文件名义 , 将自身数据和 SDK 数据保存到公共存储空间(app 的外部目录) , 以保证 app 卸载后这些数据可以保留 , 或是跨 app 读取用户画像等等 。
大陆 Android 至今依旧存在的推送 SDK 就是依靠在「存储空间」里保存垃圾文件 , 达到判断用户的目的 , 而这也已严重侵犯用户隐私 。 正因如此 , 存储空间也成为 Android 上被滥用得最多的权限(也许没有之一) , 即使后来 Android 推出官方的权限精细控制之后 , 情况也不容乐观——想想哪些不给存储空间读写权限就不给打开的 app 们吧 。
文章图片
▲
从 Android 10(Q)开始 , Google 就对 app 滥用公共存储空间行为进行「整治」. 图片来自:Google I/O 19
到了 Android 11 , 官方终于强制 app 开发者采用分区存储 。 不过 , 好像哪里不太对:实际上 , app 们依然可以读取 Google 限定的公共文件夹(下载、文档等等)内的全部文件夹名字(看不到其他 app 创建的文件) , 并在其中写入自己的文件 , 而这样做并不需要用户授权 。 也许以后我们可以在 Android 11 的文件系统里见到 /Download/.push-sdk/xxxxxxxx 这样的文件夹……
推荐阅读
- 生活|气笑了,这APP的年度报告是在嘲讽我吧
- 于本|豆瓣 App 安卓新版本 7.20.0 测试
- 微信|积极落实互联互通,微信收款码支持云闪付及银行APP支付物料落地
- 安全|Redline Stealer恶意软件:窃取浏览器中存储的用户凭证
- Apple|苹果高管解读AirPods 3代技术细节 暗示蓝牙带宽可能成为瓶颈
- Apple|摩根大通分析师:交货时间来看iPhone 13系列已达供需平衡
- Apple|法官称苹果零售店搜包和解协议虽不完美,但可继续进行
- Apple|苹果希望手机/平板设备能正面为其他设备无线充电
- 吴祖榕|上线 2 周年,用户数破 2 亿,腾讯会议和我们聊了聊背后的产品法则
- 硬件|上线两年用户破两亿,腾讯会议还能做什么?