注意:对于一个特定示例,我将使用SpiderOak,但我有兴趣将此问题更广泛地应用于任何“私有”存储或消息服务。
SpiderOak声称自己是一个“零知识”的云存储平台,这意味着您存储的任何数据在上传之前都会使用SpiderOak无法访问的加密密钥在您的计算机上加密。但是,要使用该服务,您必须下载并安装SpiderOak的应用程序二进制文件(未提供源代码),并授予该应用程序对您的加密密钥的访问权限,以便它可以执行加密。
在不查看源代码的情况下,是否可以验证应用程序没有做出可疑的事情?通过“可疑的东西”我的意思是:将用户的密钥上传到他们的服务器, 从用户的计算机等收集个人信息或元数据......应用程序作者如何证明他们的应用程序不执行这些操作?
更新:我觉得没有源代码或反编译(实际上是同样的事情,只是一种非常迂回的方式)它无法保证应用是安全的
答案 0 :(得分:0)
您可以使用代理(例如Fiddler)或较低级别的网络分析工具(例如Wireshark)来查看使用该应用程序时的网络流量。这将允许您查看是否有超出您想要的流量(即抓取元数据)或包含您不想发送的数据(即您的密钥)。
如果您没有看到任何让您怀疑的流量,但您仍然不信任该应用程序,则可以尝试通过decompiler运行二进制文件,然后挖掘生成的源代码。请注意,反编译器远非完美,它们的输出可能是钝的(充其量),因此这将是一项非常耗费人力的工作。