今日头条会被植入木马？风险有 但普通黑客做不到

最近有报道称今日头条可以去的许多用户权限，甚至可以植入木马，今天今日头条对此作出声明：风险是有的，但是普通黑客做不到。

但随着最近央视曝光今日头条选择性推送广告的行为后（即有选择地避开一线城市，将虚假广告推送给二三线城市），对其窃取隐私的质疑开始成为越来越多人心中的问号。

昨日晚间（3月30日），知乎网友“刘一鸣”的一篇名为《今日头条与木马》的文章，更是将今日头条的隐私获取推向了风口浪尖，文章直言，“随时对你进行定位，顺带记录和识别你和别人的谈话，外加无声拍照，今日头条都能做到。”（全文点这里）

难不成我们真的生活在一个“楚门的世界”?是不是有点言过其实?

这位技术宅为了证明自己的判断，直接亮出了分析过程，对今日头条客户端的 APK（安卓安装包）进行分析。

刘一鸣认为，今日头条作为一个客户端，可以获取其他客户端梦寐以求的所有权限，并且，它的热补丁机制随时可以运行木马，由于今日头条的热补丁升级的HTTPS证书名优实现行业推荐的SSLpining，所以即使它自己不下发木马，在不安全的Wi-Fi下极有可能被黑客利用，用户安全存在巨大的隐患，尤其是一些涉密部门和设备。

针对这些尖锐的质疑，雷锋网发现，31日晚间，今日头条做出回应，称对方利用普通用户不了解技术，把行业通用的正常产品功能污蔑为木马行为，对今日头条造成严重名誉损害。他们将拿起法律武器，起诉造谣行为。

今日头条认为，App获取手机部分权限是App 正常运行的前提条件（如位置信息是外卖、打车等APP功能的前提），获取对应权限后，用户才有可能正常使用产品，属于主流App的标配功能。

对于文章中质疑的热补丁可能被黑客劫持的问题，今日头条认为视频演示是造谣者自己篡改了手机的安全设置才出现的问题，用户正常使用的情况下并不会有安全问题。（看今日头条回应全文请移步文末）

那到底这款下载量过亿的应用会不会被黑客劫持?

某位安全研究专家对刘一鸣所提出的观点提出质疑，认为这篇文章有夸大的地方。

文中说 HTTPS 没加 SSL Pinning 机制，但这还是 HTTPS。那么在不安全 Wi-Fi 里，攻击者完成中间人植马是如何做到的?

刘一鸣回应：

普通黑客很难做到，因为这需要CA签发假证书，但这种事情在历史上发生过，而且专门的组织完全有可能做到，比如说，国家行为。考虑到今日头条的装机量，利用热补丁通道去下发木马窃取文件或渗透内网（木马热补丁只需要一次，后续只要一起动就会连接，不需要在攻击的网络环境中。最关键是用户无感知且使用的官方安装包），我认为是一个相当具有可行性的选择。因此我才提示风险，建议涉密的部门禁止今日头条，建议对自己隐私有要求的用户卸载。不知这个回复是否可以接受。

换句话说，风险是有的，但是普通黑客做不到。

以下是今日头条回应全文：

近日，名为“刘一鸣”的知乎账号在该平台发文称，“今日头条就是一个功能强大的木马”。此言论利用普通用户不了解技术，把行业通用的正常产品功能污蔑为木马行为，对今日头条造成严重名誉损害。我们将拿起法律武器，坚决起诉造谣行为。对此，今日头条声明如下：

2、关于文章质疑的热修复，这是目前行业内的常用机制，主流App都在使用，用来修复软件bug以保证用户能够稳定使用App。头条采用的是业界开源并广泛使用的热修复方案, 仅用于头条App内的闪退问题修复，不会对手机系统和其他软件产生任何影响，不存在任何木马行为。

3、关于文章中质疑的热补丁可能被黑客劫持的问题，头条通过HTTPS协议传输并会验证补丁的数据完整性，只有经过完整验证的补丁才会生效。文章中的视频演示是造谣者自己篡改了手机的安全设置才出现的问题，用户正常使用的情况下并不会有安全问题。

4、今日头条已公证、保留证据，我们将向法律寻求包括名誉权在内的合法权益的保护。