说到如今手机上的“免费应用”,可能很多朋友首先会想到的会是那些“免费下载、免费使用”,但要想提升使用体验就得花钱,或氪金抽卡、或开通会员的常见套路。
但除了诱导用户花钱之外,这些“免费应用”其实还有另外一种确实不需要用户掏真金白银的盈利模式,那就是通过广告植入的方式来获得收入。
比如在一些通常主打“休闲益智”类的游戏里,就往往会见到这种“点击广告获得更多游戏道收益”的设计。除此之外,类似的情况还会在“点击广告看免费小说”、“点击广告领取免费会员权益”等应用中出现。尽管有些朋友可能会对这类“在广告里插播App功能”的设计感到厌烦,觉得还不如直接掏钱省事,但从另一个角度来说,似乎也确实可以认为它们是要比“氪金应用”更加纯粹的“免费”,至少对于部分用户来说如此。
然而真的是这样吗?
最近,有黑客入侵了数据分析公司Gravy Analytics的服务器,并公布了他们所获得的部分文件。在这些文件显示,至少有数千款App都受到了这家公司的变相“监控”,使用这些App会被追踪位置,并且用户对此几乎毫不知情。而用户的位置数据最终会被卖给Gravy Analytics或其他类似的公司,但至于他们具体要如何“使用”这些不同用户的位置数据,就没人能说得清了。
需要注意的是,数据公司并没有篡改这些软件,他们也并不是与开发者合作、从而有意地植入这些代码。根据进一步的技术分析发现,安全漏洞实际上就出在了那些“插播”的广告里。
这是什么概念呢?简单来说,在此次事中,所有的涉事App在被“编写”出来时都是干净的,它们的开发者或是背后公司并没有任何恶意。但问题在于,这些App普遍选择了预留广告推送接口,以便于弹出广告内容来藉此牟利(这可能是他们唯一的盈利方式)。
问题就在于,他们(软件开发者)没法控制自己的软件会收到哪些具体的广告“推送”。于是在恶意的广告商、以及他们背后相关企业的勾结下,带有恶意跟踪代码的广告被推送到了原本正常的软件里,将其变成了跟踪用户、窃取他们隐私数据的帮凶。
App开发者或许是无辜的,但用户又该如何防范呢
而且这种隐藏在广告推送数据里的恶意代码最“厉害”的地方就在于,因为它是在软件安装、并且要运行一段时间之后,才可能伴随着某一次的广告推送数据而侵入用户的手机。所以它们可以绕过目前已知的所有应用商店审核,也能瞒过如今智能手机在安装App时的安全扫描机制。甚至由于这些恶意代码是基于广告推送来进行“植入”,因此当然也可以通过再一次的推送来“自我消灭”。从而不留下任何可被安全软件察觉的“痕迹”,只将已经收集到的用户隐私数据传送到它不该去的地方。
说了这么多,那么站在消费者的角度来说,难道就完全没有办法去防范这种基于广告推送的恶意软件了吗?
一方面,理论上大家当然可以通过频繁使用手机上的安全管家进行扫描、从而发现“被推送”的恶意代码,或者干脆禁止一些软件的联网、存储权限,就可以直接阻止它们被推送包含病毒的广告。
但从另一方面来说,完全指望依靠用户自己来防范这类“病毒推送”显然既不现实、也不道德。正如参与调查上述事件的部分网络安全人士所说的那样,真正的关键还是在于对广告公司、相关企业的监管。而无论是(对非法推送内容并不知情的)App开发者,还是隐私数据因此泄露、并且被拿去贩卖的用户,显然都是受害方。
【本文图片来自网络】
