國內(nèi)這幾天真熱鬧,上周剛回到硅谷這邊,這周陸續(xù)跟同事聊金山的事,發(fā)現(xiàn)大家集中有兩個話題,一個是金山的隱私問題,另一個是如何對蘋果APP的審核更加小心謹(jǐn)慎。
這邊有幾個高手這幾天業(yè)余時間看了看金山APP的代碼,大家開會時討論用,結(jié)果就發(fā)現(xiàn)尷尬的地方了,金山電池醫(yī)生這款A(yù)PP存在各種各樣侵犯用戶隱私的行為,但是代碼做得很巧妙,不得不佩服金山在這方面挖空心思。
我把同事的一些研究成果集中在這里,一些圖片稍微處理了下。
1、非法讀取用戶的iPhone上安裝了哪些APP
請注意,這里的代碼取自APP Store版的金山電池醫(yī)生。從代碼可以看出,它在非法訪問獲取用戶這臺iPhone中已經(jīng)安裝了的APP信息。金山你讀這個信息干嘛?我裝了什么APP,管你什么事?
我想問問金山:一臺iPhone,用戶到底裝了哪些APP,這算不算隱私?
圖一:金山竊取用戶APP隱私
2、非法閱覽用戶的照片和音樂文件夾
如果說你讀取我裝的APP信息算是隱私還有點(diǎn)矯情,那你到底為什么讀取用戶iPhone的照片和音樂文件夾?你是不是有嫌疑把用戶的艷照拿走?
圖二:金山竊取用戶照片跟音樂文件夾
3、非法獲取系統(tǒng)進(jìn)程資源信息
以下是另一位同事拿到的APP Store版金山電池醫(yī)生部分代碼,代碼顯示金山正在獲取系統(tǒng)進(jìn)程資源信息。這個基本上說得過去,但這是蘋果APP Store嚴(yán)禁的行為。
圖三:金山正在獲取系統(tǒng)進(jìn)程資源信息
下面來總結(jié)一下,我試圖用最嚴(yán)密的邏輯來推導(dǎo)一下:
A、金山讀取上述所有信息,都是蘋果不允許的,屬于開發(fā)者的違規(guī)行為,蘋果見一次踢一次,見兩次踢全家。這在所有的APP中,極其罕見。
B、金山讀取這些不必要的信息的動機(jī)是什么?恐怕只有金山自己知道。這家公司在隱私竊取和泄露方面是有前科的。前年連Google快照里都有金山的上傳的隱私信息,用戶的賬號密碼都有。那次事件觸動了Google員工,這次事件觸動了蘋果員工,金山真牛。
C、拋開動機(jī)和陰謀論。金山讀取這些不必要的信息,是完全具備竊取隱私的能力的。
這就好比一個慣偷,他以前偷過東西,現(xiàn)在他跑到你家里去了,你覺得,你是不是有理由懷疑他又一次在作案?所以,我強(qiáng)烈質(zhì)疑,金山在其APP中有窺探、竊取用戶隱私的嫌疑。
我想說的是,這次金山事件肯定在蘋果乃至整個硅谷APP開發(fā)圈都造成了影響,今后中國的開發(fā)兄弟們一定要多小心謹(jǐn)慎,偏見的產(chǎn)生在所難免,尤其是看了以下的代碼后,你會覺得中國人的那點(diǎn)小聰明基本都集中在金山身上了。
另外我堅決不會向身邊的親朋好友推薦金山任何東西,這家公司從PC到手機(jī)的記錄完全不值得任何信任,就像希特勒能力是很強(qiáng),但是你能信任他能給你任何福祉嗎?