京东直播需要多少好友才能火爆?
06-18
您被应用程序中的广告折磨了多久?许多应用程序的开屏广告不仅点击哪里就跳转,而且还让“跳过”按钮变??得极小。
更烦人的是,有些广告被“伪装”成应用程序本身或系统弹出窗口。
点击假取消按钮就会跳转到广告商的网站,真是防不胜防。
接下来发生的事情大家都知道了:工信部开始整治App中的开屏广告,不再允许这种全屏触发跳转和诱导广告,以及“无法关闭”和“随机跳转”的情况”被遏制了。
然而,就在最近,我们看到了几种新的广告形式。
例如知乎、爱奇艺、WPS等都允许“摇一摇”跳转到另一个应用程序。
识别很灵敏,坐车或慢跑时可能会略有不同。
摇一摇就可以“跳转到第三方”。
▲ 摇动手机从《QQ 音乐》跳到淘宝的问题在于,与拍照、录音、通讯录等可以自行开关的权限不同,这些“摇一摇”广告所依赖的传感器数据并不需要用户授权。
确实,手机作为我们日常生活中密不可分的设备,其存储的数据量远超我们的想象;虽然这些数据可能看起来“无害”,但实际上它可能会泄露我们的一举一动。
一个动作。
那么,在小小的手机中,哪些数据和权限是可以未经同意读写的呢?陀螺仪和加速度计等传感器。
如果你看过第一代 iPhone 的发布会,你可能会对乔布斯演示 iPhone 会根据你握持方向调整屏幕显示印象深刻。
这个功能和“摇一摇”一样,都是通过智能手机内部的传感器来实现的。
为了让手机能够感知现实世界,几乎所有智能手机制造商都在想尽办法将陀螺仪、加速度计、气压计等传感器封装到这块小而薄的玻璃中。
它们确实可以为用户和应用程序开发者带来新的可能性。
然而,这些具有现实世界感知的传感器缺乏相应的管理工具和逻辑。
2016年,加州大学戴维斯分校的两名研究人员利用手机内置的陀螺仪传感器开发了一款键盘记录器。
通过记录手机的移动、偏转、旋转,该记录器可以读取数字键盘的输入记录,准确率达到70%(QWERTY键盘的准确率略低)。
考虑到这项2016年的研究只是依靠安装在手机上的三轴陀螺仪完成的,可以预计,如果这款记录仪在近两年传感器较多的智能手机上使用,准确度很可能只会下降。
增加。
▲ 通过分析陀螺仪数据确定数字键盘的击键。
图片来自:ucdavis 除了记录键盘输入之外,这些传感器还可以用来学习你的运动轨迹、速度和方法,而无需使用 GPS。
例如,百度地图的卖点之一就是“智能定位”。
它的原理是利用这些传感器数据来确定你当前的速度、加速度等信息,从而在隧道等GPS信号较差的地方完成定位导航。
▲谷歌地图的Live View功能也使用了这些传感器,但应用方向与百度地图不同。
图片来自:谷歌 遗憾的是,这些传感器的隐私泄露风险并没有被广大用户注意到,甚至许多的浏览服务器也允许网页直接获取一些传感器数据。
想象一下,广告商在未经您同意的情况下知道您是躺在床上看手机还是在车里;黑客只需获取您的传感器数据即可猜测您的键盘输入。
想想还是有点后怕。
幸运的是,考虑到当前移动操作系统的特点,要达到这样的目标而不被发现是相当困难的,但这并不意味着我们不需要警惕此类攻击。
此外,如果您的手机运行的是Android 10或更高版本,您还可以选择关闭这些传感器。
以基于Android 10的Lineage OS 17为例:进入设置,滚动到底部“关于手机”,点击底部“版本号”7次,输入手机解锁密码,进入开发者模式,返回设置主菜单,进入“系统”,点击“高级”,找到“开发者选项”,找到“快速设置开发者磁贴”,打开“传感器关闭”开关,从屏幕顶部下拉两次,找到“传感器”关闭”图标,然后将其打开后,指南针、陀螺仪和加速度计等传感器将停止工作,但单独权限控制的 GPS、摄像头和麦克风等硬件设备不会受到影响。
您可以尝试在“摇一摇广告”中摇动手机来测试此开关是否有效(不同手机型号和系统可能存在差异,我们已使用测试机多次操作,结果均有效)。
LAN 访问 在 iOS 14 中,如果应用程序想要访问同一 Wi-Fi 网络上的其他设备,则需要您的授权。
很多人不明白为什么这也需要用户同意和授权?简单来说,这可以有效防止恶意应用程序通过局域网攻击您的其他设备,并防止广告商使用这种方法来分析用户。
▲ 图片来自:Brett Jordan / Unsplash 我们先来说说局域网攻击。
我们在家里和公共场所使用的Wi-Fi网络一般都需要连接到局域网才能够连接互联网。
如果你把局域网想象成一个小镇,那么连接到 Wi-Fi 的设备就是小镇上的其他居民。
本来居民们彼此相安无事,大家都出城(上网)做自己的事情。
然而,一些居民居心不良,四处探查别人的房屋(扫描局域网中的设备和开放端口),看看是否是危险房屋。
(寻找漏洞)然后尝试攻击。
然后是用户画像。
越来越多的智能设备支持与手机联动,许多设备的连接方式就是Wi-Fi。
这也是 LAN 扫描。
比漏洞更吸引广告商的是这些设备的型号、制造商和MAC地址(设备硬件地址)。
广告商可以通过它知道你购买了哪些电子产品,甚至可以确定你和谁住在一起,去过哪些公共场所,从而进行更精准的广告和促销。
目前,iOS 14已经支持应用程序对局域网访问的权限控制。
您可以在设置中的“隐私”和“本地网络”中找到它。
如果不是智能家居或智能硬件支持的应用,或者不具备投屏功能的应用,一般来说不需要开启该权限。
这可以有效避免大多数恶意应用程序攻击并检测同一Wi-Fi下的网络设备。
如果你是大陆Android玩家,你可能已经熟悉“自由放任”的文件系统。
由于Android不像iOS那样使用严格的“文件沙箱”机制,因此应用程序可以将文件存储在所有应用程序共享的同一外部目录中。
4、这些数据可以在App卸载后保留,或者可以跨App读取用户画像等。
大陆Android中仍然存在的推送SDK,是依靠保存在“存储空间”中的垃圾文件来判断用户的,而这严重侵犯了用户的隐私。
正因为如此,存储空间成为了Android上被滥用最多的权限(或许没有之一)。
即使Android官方推出了细粒度的权限控制之后,情况也不容乐观——想想那些不赋予存储空间读写权限的权限。
只是不要将其提供给您打开的应用程序。
▲ 从 Android 10(Q)开始,谷歌一直在“纠正”应用程序滥用公共存储空间的行为。
图片来自:Google I/O 19. 借助 Android 11,官方终于强制应用开发者使用分区存储。
然而,似乎有些不对劲:事实上,应用程序仍然可以读取 Google 限制的公共文件夹(下载、文档等)中的所有文件夹名称(无法看到其他应用程序创建的文件),并在其中写入自己的文件,而不需要用户授权这样做。
或许以后我们可以在Android 11的文件系统中看到/Download/.push-sdk/xxxxxxxx这样的文件夹……如果你的手机支持root并且安装了Xposed框架,那么名为“存储空间隔离”的Xpose插件是一个可以有效避免上述问题的工具。
使用它,我们可以强制每个应用程序生成的文件存储在自己的分区文件夹中,从而从根本上防止应用程序相互“串通”关于您的私人信息。
存储隔离适用于已安装Xposed框架的Android 6.0+设备。
大小因设备而异。
通过应用内购买是免费的。
下载地址:APPSO提到的这些“隐私缺陷”中,你还发现手机和电脑还有哪些可能泄露隐私的情况呢?欢迎在留言区告诉大家。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-18
06-21
06-18
06-18
06-17
06-17
最新文章
Android旗舰之王的过去与未来
智能手表不被开发、AR眼镜被推迟,Meta的产品经历了一波三折
为什么Cybertruck是特斯拉史上最难造的车?
更新鸿蒙3后,文杰允许你在车里做PPT了
新起亚K3试驾体验:追求“性价比”,韩系汽车仍不想放弃
阿维塔15登场!汽车配备了增程动力,理想情况下会迎来新的对手吗?
马斯克宣布创建 ChatGPT 竞争对手! OpenAI的CEO给他泼了冷水, GPT-5可能会发生巨大变化
骁龙无处不在,是平台也是生态