Jace|海图夜读 (@JaceHoiX) “说起项目方作恶,想起在腾讯时做手机安全的趣事,当时的工作也是类似作审计。 我当时” — TopicDigg
Jace|海图夜读
@JaceHoiX
在美股里找价值股
在港股里捡烟蒂
在DeFi里挖十倍金子
🇭🇰 Hong Kong · 耐心是最大的alpha
加入 March 2020
2.3K 正在关注 12.2K 粉丝
说起项目方作恶,想起在腾讯时做手机安全的趣事,当时的工作也是类似作审计。
我当时在腾讯手机管家做病毒查杀,那些app并不是项目方自己提交,而是全市场拿回来,因为手机管家是装在用户手机里面,本质上是对用户负责而不是对厂商负责。
然而,当时,除了绝对安全的app和极少数非常恶意的app,很多app都是在灰色地带里。因为Android手机的权限获取非常容易并且不少app里自带动态升级功能,不知不觉就能替换里面的代码升级了。
这时,厂商的名头就很重要了。例如,一个地图类app,如果又获取通讯录又有拍照权限又有短信权限。那时的地图功能都很简单,我们也不太明白到底哪用上了这些权限,反编译代码也没看到有用上。
如果是大厂的话,我们就会标安全;如果是小厂,我们就会标黄标风险提示,提示隐私泄露的风险。但谁也不知道大厂会不会作恶。
有时,某些小厂也会找到我们总监,然后总监就让我们复检,意思很明确了。这样一行代码没改的情况下,我们也会把黄标的app改为安全。
有时候,审计审的不止是代码。
显示更多
