我们做研究其实就像打怪一样,会在不同的阶段解决那个阶段特有的网络安全问题。大家好,我是周亚金,是浙江大学网络空间安全学院研究员,也是BlockSec的联合创始人。今天我想和大家分享在过去十几年的安全研究里面,我们所做的一些与移动安全,以及和今天新兴的网络犯罪相关的事情。2010年是移动互联网开始大发展的时代,我也有幸在2010年的时候开始移动安全的研究。
改变应用授权的“霸王条款”今天的观众里面可能有很多90后、00后,你们使用自己手机的时候或许就已经迈入了智能手机的时代。智能设备提供的这些应用给我们的生活带来了非常大的便利,但是在安装这些应用的时候,大家可能经常会看到这种授权弹框出现。在比较早期的移动设备里面,这样的授权其实存在着比较大的缺陷。
它其实是一种静态的授权方式,也就是说你一旦给予了某个应用某个权限,就没有办法在应用安装之后撤回这样的权限。特别是如果你不给予这个应用它所要求的所有权限,就没有办法安装和使用它。这有点像霸王条款,但在2015年之前的手机上是真实存在的。我在2010年开始从事移动安全研究之后,加入了蒋旭宪老师的团队。当时团队就发现了这个问题,于是开发了一套叫TISSA的系统。
相比于当时的静态授权,这个系统提供了一种动态授权的方式,可以让用户对一个应用的权限做一些运行时的限定。比如说,如果用户觉得一个应用不需要地理位置的权限,就可以撤回地理位置的授权,如果用户觉得这个应用所需要的地理位置权限不合适,甚至可以给它一个虚假的地理位置。这就能够在最大程度上保护用户的隐私,并且做到了动态可调。我们的这个研究成果后来逐渐得到了社区的响应。
到今天,权限管理已经成为一种标配,在很多的手机里我们都可以看到这样的应用设置选项。在应用安装之后,用户仍然可以对应用的权限做动态调整,用户也不需要一次性授予这个应用所有权限,而且可以有选择地授权或撤销。我们当时发现的问题和研究的成果,在一定程度上促进了整个社区的进化,并且帮助了用户免受强制授权和静态授权的干扰。