最近这一阵子,我的私信箱快被问爆了,都是关于那个叫Xiangchuedge的安卓应用。好多人都跑来问我:“老哥,那个什么边缘下载,听说资源挺猛的,但总感觉不太安全,你一个资深玩家,给测测呗?”
我一开始是嗤之以鼻的。这种靠着三方渠道野蛮生长的软件,九成九都有问题。但是架不住问的人实在太多了,而且我在一些论坛上看到它那推广的架势,搞得神神秘秘,一副“内部人士”才能用的样子,反倒激起了我的好奇心。作为一个整天跟各种代码和系统权限打交道的老油条,我决定亲自上手,把这个包抓下来,看看它葫芦里到底卖的什么药,安全不安全,大家心里也好有个数。
准备开搞:先给自己穿好“防弹衣”
你们都知道我的习惯,测这种来路不明的野路子软件,绝对不能用主力机。我二话不说,直接跑到我的工具房里,从角落里翻箱倒柜,掏出了我的“僵尸测试机”——一台系统版本老旧,但是root权限全开,专门用来做行为分析的安卓手机。
我的第一步,就是把这台机子彻底格式化,清得干干净净,确保里面没有任何我的个人数据,连一张照片都没有,就是个纯净的系统。第二步,我部署了流量监控软件和权限追踪工具。这两个工具是关键,它们能帮我盯死这个APP,看它在安装和运行过程中,偷偷摸摸地往外发了什么东西,又试图染指了手机的哪个角落。
所有准备工作搞定之后,我才开始去网上搜索它的下载渠道。果不其然,官方渠道根本找不到,我必须通过某些推广页面或者论坛里那些看起来很诱惑的链接才能抓到那个APK安装包。我找到一个版本号看起来最新的,下载下来,文件体积倒是挺正常,没有大得吓人。
安装过程:流氓软件的标配操作
我把APK文件传进测试机,开始安装。不出我所料,一点击安装,系统就跳出了一长串的权限申请列表。这列表看得我直摇头,简直就是流氓软件的标准作业流程:
- 它要读取我的“手机状态和身份”,说白了就是想扒走我的IMEI码。
- 它要求获取我的“大致位置和精确位置”,这玩意儿对一个下载工具来说有屁用?
- 更离谱的是,它还要求访问我的“通讯录”和“通话记录”。我直接给它权限掐死,只给了它必须的存储权限和网络连接权限,而且网络连接也全程在我的监控下运行。
我心里清楚,如果是一般用户,看到这么多请求,肯定就是一路“同意”点下去了。但我的原则是,你不该要的权限,我一根毛都不会给你。我在后台设置里,把它的“自启动”和“后台持续唤醒”功能全部禁用,确保它只有在我点开的时候才能运行。
行为分析:这哪是下载工具,分明是“间谍”
正式运行APP之后,界面倒是挺唬人的,内容也确实是它宣传的那样。我假装正常使用,翻看了几个页面,然后把它切到后台,保持网络连接。
大概十分钟,我的流量监控工具开始噼里啪报警。我马上切过去查看日志。好家伙!在我没操作它的情况下,它竟然在后台高频次地往外发数据包。我追踪了一下数据连接的服务器地址,发现它连接了两个跟应用内容提供商八竿子打不着的国外IP地址。这两个地址我拿去做了反查,结果显示,它们之前被标记过涉及“灰产数据聚合”和“用户画像收集”。
这就很说明问题了。 这应用根本不是安安分分地提供下载服务,它是在偷我的东西。它反复尝试读取设备标识符,甚至在我禁用了位置权限后,它还在通过网络信令尝试预估我的大致位置。这种后台的鬼鬼祟祟,已经完全触犯了我的安全底线。
我为什么这么执着于“干净”的软件?
我为什么对这种后台偷偷摸摸的行为这么敏感?这得归功于我年轻时候的一段经历。那会儿我刚从学校毕业出来,进了一家做移动互联网推广的小公司。公司业务很奇葩,我们主要就是给一些看似正常的应用植入“追踪模块”。
我记得特别清楚,当时我们负责的某款美颜软件,用户只要下载了,我们就能通过那个模块,在用户毫不知情的情况下,截取他们的设备信息,分析他们的使用习惯,然后把这些信息打包卖给广告商和数据公司。我们当时甚至能做到在用户切换网络的时候,强制它自动启动一次。我当时干了半年,心里那股劲儿越来越别扭。这种赚黑心钱的感觉,让我晚上睡觉都睡不安稳。我实在是忍不了,直接撂挑子辞职了,转头去搞了现在这行,专门研究怎么把这些流氓软件扒光了晒太阳。
当我看到这个Xiangchuedge的应用在我的监控下重复着当年我干过的那些龌龊事时,我心里立刻就亮起了红灯。这种软件,表面光鲜,内里藏毒。
最终我的实测体验报告
我的实测结果已经很清楚了:Xiangchuedge安卓版,它不是一个安全的应用。它不仅过度索取权限,而且在后台有明显的隐私数据收集和上传行为,这些行为跟它本身宣传的功能完全不搭边。
如果你问我能不能下载?我的回答是:除非你用一个完全没有个人信息的测试机来运行它,并且全程掐断它的网络连接,否则,别碰! 为了那点所谓的“独家资源”去冒这么大的个人信息泄露风险,完全不值当。我测试完之后,直接把我的测试机再次格式化,把那个可疑的APK文件也彻底删除了。希望大家引以为戒。