雷鋒網(wǎng)按：本文是3.15維權(quán)系列報道之“全家桶”，聊聊手機(jī)app那些坑爹的現(xiàn)象。

一部手機(jī)恰似山河社稷，有人恭順賢良，更有人圖謀篡位。三教九流的 App 充斥其中。

這一點(diǎn)在 Android 系統(tǒng)中表現(xiàn)得更為露骨。為了爭取更多的生存空間和用戶關(guān)注，包括主流的大廠 App 在內(nèi)的所有應(yīng)用都在想盡一切辦法得到用戶權(quán)限。為了達(dá)到目的，他們不惜使用流氓手段，視節(jié)操為路人。

我們已經(jīng)習(xí)慣在無奈的時候求助于段子手：

銀角大王將寶葫蘆倒置，喊了一聲：“周鴻祎?！?周鴻祎應(yīng)了一聲，嗖地便被吸了進(jìn)去。 銀角大王查看時，里面除了周鴻祎，還有360殺毒、360壓縮、360瀏覽器、360安全衛(wèi)士、360游戲大廳等熙熙攘攘一干人。 銀角大王驚訝道：“怎的來了這許多。” 寶葫蘆開口言道：“我就只點(diǎn)了個‘下一步’?！?/strong>

金角大王正要說話，看到一旁的李彥宏在笑，大怒，翻轉(zhuǎn)寶葫蘆正要喊，李彥宏嗖的一聲鉆進(jìn)了寶蘆，金角大王轉(zhuǎn)過葫蘆一看，里面除了李彥宏，還有百度貼吧，百度手機(jī)管家，百度瀏覽器，百度殺毒，百度輸入法，百度外賣，百度安全中心，百度云，百度音樂，百度知道，百度百科……密密麻麻一干人，金角大王問怎么回事，寶葫蘆開口道：“我什么都沒干！”

這個故事的結(jié)局是：金角大王忙活了一天，好不容易把他們化為膿水。第二天再看，一個不少又出現(xiàn)在那了。。。

怎樣和流氓和平相處？

雖說生活就像強(qiáng)奸，當(dāng)你無力反抗時，就閉上眼好好享受。然而，當(dāng)你不斷被各路 App“強(qiáng)上”的時候，你會發(fā)現(xiàn)自己無法享受。

諸多 App 不斷請求權(quán)限。鍥而不舍地要求看你的照片，讀你的短信，你不同意就賴著不走。稍不留意就會點(diǎn)擊同意，讓流氓鉆空子。

面對盜匪猖獗的 Android 生態(tài)，有童鞋自主研發(fā)出一整套防護(hù)體系。利用一套“強(qiáng)權(quán) App”壓制其他的“強(qiáng)權(quán) App”。 如果這個理論聽上去過于晦澀，那么還有一個通俗的解釋：用大流氓管理小流氓。它的基本邏輯是這樣的：

• 既然所有的流氓都在爭搶我的權(quán)限，那么不如我把權(quán)限交給一個大流氓來分配管理。

  
  

• 為了維護(hù)“社會穩(wěn)定”，大流氓本身要有頂級的權(quán)限，例如最高級的 Root 權(quán)限。

• 有了大流氓作為左膀右臂，機(jī)主的世界一下子安靜了。借用崔健的歌詞：這個感覺真讓我舒服?！?/strong>

360手機(jī)衛(wèi)士、LEB安全大師就是所謂的“大流氓”。當(dāng)然，歷史規(guī)律告訴我們一個真理：作為一個大流氓，要想在亂世立足，就必須要講規(guī)矩，要按照江湖規(guī)矩來辦事。這些權(quán)限管理 App 雖然經(jīng)常對自家系列 App像“春風(fēng)一樣溫暖”，但對待其他 App 還是“像秋風(fēng)掃落葉一樣無情”，總體表現(xiàn)可以忍受（真相是：不忍也沒辦法）。

全家桶怎樣進(jìn)入你的手機(jī)？

手機(jī)上有強(qiáng)權(quán)，也有流寇。而這些流寇所使用的手段，千奇百怪無所不有，有時連“大流氓”都力不從心。

如果說盜取用戶的權(quán)限是一門武術(shù)的話，那么能夠“靜默安裝”標(biāo)志著你的武藝已經(jīng)登峰造極了。一些木馬病毒和惡意軟件，會強(qiáng)制打開 Android 系統(tǒng)為殘疾人設(shè)計的“點(diǎn)擊輔助”功能。一旦打開這個功能，就相當(dāng)于控制了你的手指，可以根據(jù)木馬病毒的需要隨意對屏幕進(jìn)行“模擬點(diǎn)擊”。這個自動點(diǎn)擊過程非常迅速，機(jī)主很難察覺。當(dāng)你反應(yīng)過來的時候，木馬已經(jīng)拿到了系統(tǒng)權(quán)限，完成了惡意軟件的靜默安裝。

這種惡意的木馬，會被手機(jī)殺毒軟件查殺。然而，有用戶發(fā)現(xiàn)：無論安裝了什么權(quán)限管理 App，來自 BAT 們的全家桶仍舊可以堂而皇之地進(jìn)入你的手機(jī)。那么，他們究竟是怎樣做到的呢？

一位研究 Android 系統(tǒng)的安全專家匿名告訴雷鋒網(wǎng)：

要想實(shí)現(xiàn)“全家桶”靜默安裝，無疑需要取得Root權(quán)限。然而幾乎每一家廠商都掌握至少一種臨時獲得 Root 權(quán)限的方法。這已經(jīng)成為了行業(yè)的潛規(guī)則。

所謂臨時Root，就是在需要安裝全家桶的時候，利用系統(tǒng)的安全漏洞臨時把自己的權(quán)限提升到 Root 級別，在實(shí)現(xiàn)了自家 App 的靜默安裝之后，再放棄 Root 權(quán)限。把一切都恢復(fù)到“作案”之前的狀態(tài)。這種行為相當(dāng)隱蔽，很難抓到證據(jù)，而且由于這種靜默安裝的實(shí)現(xiàn)途徑是利用了系統(tǒng)漏洞，所以所有的權(quán)限管理軟件對這種行為都無能為力。

“不重新啟動手機(jī)而取得臨時Root權(quán)限”，這種行為是被谷歌嚴(yán)格禁止的。這些漏洞被廣泛利用，超過了普通人的想象。幾乎所有的App大廠都在采用這種不光彩的方式把全家桶塞進(jìn)用戶的手機(jī)。目前看來，廠商在相互維護(hù)著一種默契，沒有人站出來挑明這條行業(yè)潛規(guī)則。

你不闖紅燈，別人會闖

難道，谷歌對這種泛濫的行為不知情嗎？

谷歌當(dāng)然知情，只不過力不從心。雖然谷歌對每一版 Android 系統(tǒng)都會進(jìn)行安全升級，但是仍舊有新的漏洞被挖掘出來。更重要的是，由于安卓系統(tǒng)的碎片化，目前很多手機(jī)搭載的系統(tǒng)都在6.0以下，更多的手機(jī)品牌，如小米、魅族、是基于安卓系統(tǒng)的自定義版本。

【錘子 Smartisan T2 的 Android 系統(tǒng)版本為5.1.1】

根據(jù)2016年2月的數(shù)據(jù)，只有1%的安卓手機(jī)采用了最新的 Android 6.0 系統(tǒng)，目前這個數(shù)據(jù)在逐漸上升，但 Android 6.0 的普及度仍然低得令人發(fā)指。

前述安全專家告訴雷鋒網(wǎng)：

自定義的安卓版本和谷歌的補(bǔ)丁并不同步，很可能有些安全漏洞并沒有修補(bǔ)，存在很大的隱患。

這些舊版系統(tǒng)已經(jīng)被很多黑客研究，其中諸多Root漏洞已經(jīng)被挖掘公開出來。對于BAT這樣的大廠商來說，拿到這些漏洞是不費(fèi)吹灰之力的。即使是面對最新版本的系統(tǒng)，BAT理論上也有能力在產(chǎn)業(yè)中尋找合適的黑客或購買新挖掘的漏洞，用以輔助全家桶靜默安裝。

【來自谷歌的數(shù)據(jù)顯示，截止2016年2月，Android 6.0 的安裝比例達(dá)到1.2%】

目前來看，沒有任何的法規(guī)可以限制這種臨時Root的行為，而App只有在需要安裝全家桶或獲取敏感信息的時候，才臨時調(diào)用Root權(quán)限。這種做法很隱蔽，平時看來這些App和普通的App一樣人畜無害，稍不留神就會兇牙畢現(xiàn)。

這種臨時 Root 的行為不僅限于靜默安裝，還用來實(shí)現(xiàn) App 的后臺自啟，也可以實(shí)現(xiàn) App 間的相互喚醒、還可以收集用戶的隱私信息。

在 App 廠商的角度，他們有自己的一套解釋。熟悉 App 開發(fā)的業(yè)內(nèi)人士表示，目前 Android 的生態(tài)已經(jīng)陷入了惡性競爭之中。

“我不自啟動，別人家的 App 也會自啟動；別人強(qiáng)行占用系統(tǒng)資源，我沒占用，用戶也不會感念我的好。那我為啥不自啟動，為啥不安裝？啟動一個被罵，啟動全家還是罵，那我為啥不啟動全部？”

這恰恰像中國式過馬路的人群：“仔細(xì)想想，你不闖紅燈，別人會闖。到頭來你會感覺自己像傻子一樣等了半分鐘，幾次之后你也會成為闖紅燈的人?！?/strong>

“人盡可上”的Root還有沒有安全的底線？

一個事實(shí)不言而喻：

如果 BAT 的 App 有能力拿到的臨時 Root 權(quán)限，那么很多黑客一樣可以拿到。

要知道，拿到Root權(quán)限可不像逛超市那樣，想來就來想走就走。一部手機(jī)上存儲的是一個人全部的資料，關(guān)系到他的財產(chǎn)、名譽(yù)和社會關(guān)系。既然黑客不經(jīng)用戶允許而拿到Root權(quán)限，被認(rèn)為是非法，那么包括BAT在內(nèi)的諸多App的這種“通過漏洞獲取Root權(quán)限”的方法，就可以被赦免嗎？犯罪與否的紅線，是否只在于簡單的“有沒有盜取金錢”呢？

【手機(jī)支付寶所擁有的權(quán)限】

理論上來說，如果 App 拿到 Root 權(quán)限，它可以：

1、開啟用戶的攝像頭，隨時拍攝照片傳回服務(wù)器。

2、打開錄音設(shè)備，隨時監(jiān)聽用戶的談話。

3、讀取用戶的聊天記錄，監(jiān)控用戶的日常生活和活動范圍。

4、查看用戶瀏覽的網(wǎng)頁以及搜索的內(nèi)容，掌握用戶的行為、愛好和隱私。

5、監(jiān)控用戶的鍵盤輸入，可以掌握網(wǎng)銀密碼，監(jiān)控用戶的資產(chǎn)狀況和消費(fèi)習(xí)慣，甚至直接盜取用戶的財產(chǎn)。

有一雙眼睛，通過你的手機(jī)在監(jiān)視著你。你的一舉一動都會暴露在未知的人面前。如果愿意，躲在App背后的神秘人士就像上帝一樣審視你，還能做更多超出你想象的事情。

巨頭們鼓吹，我們進(jìn)入了大數(shù)據(jù)時代。大數(shù)據(jù)恰恰由我們每真實(shí)的人的真實(shí)行為組成。然而，當(dāng)你知道你的數(shù)據(jù)有可能通過這樣齷齪的方式傳遞出去的時候，你還會向這些“帶血的”大數(shù)據(jù)頂禮膜拜嗎？

作為消費(fèi)者，我們已經(jīng)習(xí)慣了處于弱勢地位，被各路流氓欺壓。讓人難過的是，流氓在施暴之后，卻把自己當(dāng)成“中國式過馬路”的受害者。

希望流氓們可以明白一個簡單的道理：縱使有無數(shù)人闖紅燈，紅燈仍舊是紅燈。

推薦閱讀：315特別報道完整版

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。