瞄准 Android 安全隐患，打赢这场地道战

说到移动操作系统，就会说到 iOS 和 Android 之争，有时也会演变成封闭与开放之争。Android 的开放性对于智能手机的繁荣有着不可磨灭的贡献，同时 Google Play 的开放性也导致无法把控产品品质，因此产品良莠不齐是一个无可避免的弊端。

那些不那么好的 Android app，有时会夹带恶意软件、广告网页、用户跟踪页面等等让人不快的东西（本文统称为地道）。若说这点在人们选择 Android 时就已经有了心理准备，更大的问题是用户完全不了解手机上的 app 连接到了哪些地方，有多少。由于存在一定技术难度，普通用户不具备相关的技术背景，懂技术的也容易忽略这个问题。

据 MIT Review 报道，Luigi Vigneri 和 Eurecom 对此提出了解决方案，他们设计的一款 app 能够自动监测 Google Play 中与网页/广告相关联的产品。

实验中，团队下载了来自 Google Play 25 个分类的 2000 多款免费软件，然后在同一部手机上逐一运行，再通过自己的服务器监测 app 埋下的地道通向哪里。如此记录下全部隐藏的 url，再与第三方数据库中的广告网站列表进行匹配筛选。

结果是，参与测试的 app 共挖下了 25 万条地道，即平均每个 app 挖了 125 条地道。其中一款单机应用竟然指向 2000 多个不同的网站，堪称地道一霸。这些海量地道的另一端连接的是 2000 个顶级域名，总体上看指向恶意网页的 app 是少数，但有心眼干坏事的都没打算收敛着干，少数派挖地道的功夫堪称专业。另一项数据显示，指向用户跟踪页面的 app 接近总数的 30%。这些数据意味着，在我们装着上百个应用的手机里，存在若干地道是大概率事件。

Luigi Vigneri 和 Eurecom 将这个软件命名为 “NoSuchApp”，缩写为 NSA，与美国国土安全局缩写相同，寓意其强大的监测手段。团队打算在不久以后将这个监测软件发布到 Google Play，让 Android 用户能够更清楚地了解自己手机的安全状况。

即使在最理想的情况下，NSA 也不能一次性解决 app 的隐私安全问题。因为软件的主要功能是监控，而选择还在于人们对隐私的重视程度。例如，光是告诉人们 “你的 app 全都有地道”，人们不可能据此将所有应用删除。并且人们还会问，你监测了所有的 app，谁来监测你？

让 “安卓” 变得安全而卓越是一个伟大的愿景，假如 “NSA 计划” 真能让用户在手机上实时监测每款应用的干净程度，确实能让整个 Android 生态健康前进一小步。至少，app 的地下工作将不会那么肆无忌惮，而且在 NSA 的启发下安全方面的应用也将开辟新的用武之地。

黄姓编辑拿着 Android 手机，叹了口气，依然不明白为何与女友的亲密合影会出现在自己常逛的论坛上。

题图：Wikipedia