去年12月下旬,在美国情报官员告诉《纽约时报》(New York Times)这是阿联酋政府暗中进行间谍活动的一个工具后,谷歌和苹果(Apple)将ToTok社交消息应用从它们的市场上撤下。大约一周后,谷歌在没有任何解释的情况下恢复了Android版本的应用程序,这一举动让应用程序用户和安全专家感到困惑。现在,谷歌又一次让行业观察人士感到困惑,它再次将这款应用拒之门外,却没有说明原因。(与此同时,苹果继续将iOS版的ToTok排除在应用商店之外。)
过去几天,谷歌服务平台Play Protect开始显示一个警告:“这个应用程序试图监视你的个人数据,比如短信、照片、录音或通话记录。即使你听说过这个应用程序或应用程序开发商,这个版本的应用程序可能会伤害你的设备。”
该消息显示在右侧,然后让用户选择“卸载”或“保留应用程序(不安全)”。
谷歌拒绝向我或任何其他记者就这一系列奇怪的反反复复的举动置评。在真空中,评论者为谷歌的理论基础提供了各种各样的理论。
“这就是猖獗投机的锡纸帽出现的地方吗?”信息安全专家本·蒙图尔在推特上问道。“阿联酋友好的内部人员在应用程序审批团队?”让它回去,被抓住了,沐鸣开户测速然后又被拉了回来?”
Metacurity—终止网络安全信息过载
·2020年2月21日
回复@Bing_Chris
奇怪的是,他们在没有任何解释的情况下恢复了它,然后又在没有任何解释的情况下收回了它。
本Montour
@benmontour
@Metacurity @Bing_Chris这是猖獗投机的锡纸帽子出现的地方吗?阿联酋友好的内部人员在应用程序审批团队?让它回去,被抓住,然后又被拉回来?
我会看着你的
在最初删除ToTok的几个月里,它从Play和App Store总共获得了数百万的下载量。仅这款iOS应用程序就获得了超过3.2万条用户评论,大多数都是好评。很有可能许多下载和评论都是由uae赞助的astroturf广告活动的一部分,目的是为了提高该应用的知名度,但它的受欢迎程度很可能是真实的。阿联酋政府已经限制使用竞争对手的应用程序,如Skype和WhatsApp,这一举措使得ToTok对那些与本国人交流的人更有吸引力。
就在谷歌和苹果公司最初删除ToTok的几天前,《纽约时报》的一篇文章称,阿联酋政府正在使用ToTok“试图追踪安装手机用户的每一次谈话、活动、关系、预约、声音和图像”。
macOS和iOS安全专家Patrick Wardle的一项独立分析证实,iOS版的ToTok确实收集了整个地址簿,并将其上传到连接到ToTok域的服务器上。这种行为只有在用户允许应用程序访问他们的联系人时才会发生,但对于使用消息应用程序的用户来说,授予这种权限是一种预期的标准做法。
“基本上(应用程序开发人员)不需要(在手机上)向应用程序添加任何恶意代码,”macOS和iOS企业管理公司Jamf的安全研究员沃德尔周四告诉我。“只要在阿联酋禁止所有其他应用程序,提供一个免费的选择,通过(国家)媒体/虚假评论推广它,并确保所有应用程序内的通讯(短信、视频、图片等)通过他们的服务器(没有E2E加密)路由。”一旦你确定了你感兴趣的目标/ppl,你就可以用你的iOS/Android 0天去对付那几个目标。这真是一个可爱的方法……嗯,从他们的角度来看。”
zeroday是一种利用开发人员未知的软件漏洞的攻击。武器化的“零日”(zeroday)地雷——意味着它们能够可靠、秘密地侵入设备,不易被发现——通常会耗费大量资金。阿联酋被怀疑在2016年使用昂贵的iOS zeroday试图黑掉该国一名持不同政见者的iPhone。
"坚定我们的纯真"
在周四发布的一份声明中,ToTok官员再次表示,谷歌和苹果没有“正当理由”将这款应用从他们的商店中移除。
“在没有任何证据的情况下,我们的应用程序突然从两家应用程序商店下架,这清楚地表明,苹果和谷歌对开发者社区,沐鸣开户测速最终对他们和我们的客户缺乏公正和公平,”这些官员写道。“坚决捍卫我们的清白,在过去的几周里,我们付出了巨大的努力来确保遵守苹果和谷歌的政策和要求,我们坚信我们在技术上和合同上都遵守了我们的所有义务。”
声明称,该应用程序仍可在手机制造商三星、华为、小米和Oppo提供的应用程序商店中使用。ToTok仍然可以在其网站上下载。
两个月前,谷歌删除并恢复了ToTok的功能,而本周,它又发生了逆转,这强化了Play作为一个对数百万用户构成安全风险的市场的声誉。Play经常被发现分发偷偷窃取加密货币钱包、上传个人照片、安装恶意软件和后门的应用程序。
谷歌在解释ToTock在游戏中的反复可用性时的沉默,以及该公司在告知用户其分析师对该应用的确切了解时的沉默,只会加剧人们的怀疑。