如果我开发了一个桌面应用程序,有百万人会使用,并且在幕后,应用程序正在监视用户'他们的硬盘上的文件,时间流数据? 对于任何流行的软件应用程序,无论是MS Office还是Google Chrome,都可以确保不会发生这样的事情吗? 或者这只是一个愚蠢的问题?
答案 0 :(得分:1)
技术上可行吗?是的。 可能会发生在一百万用户使用的应用程序中相对较长时间而未被注意到吗?非常不可能。有人最终会注意到奇怪的网络流量。
@Mjh还在评论中提到了开源。虽然开源可以帮助人们审核源代码,但有多少次你检查过你使用的二进制文件实际上是你正在查看的编译源?当然,二进制包和所有签名都有签名,但签名是由包维护者完成的。不仅在应用程序的开发人员中,而且在从源代码创建二进制包的工具链中存在固有的信任。然后我们没有谈到奇怪的"bugs",或者即使在开源中,也很难找到一些安全问题(否则所有开源软件都将是安全无错误的,但它们不是)
回到你的问题,当然,你可以使用各种技术来监控应用程序的行为,你可以监控内存访问,网络流量,等等。您还可以分析代码本身,查找可疑的东西。这将需要付出巨大的努力,但仍然没有100%的保证,只有一定程度的保证。
自动版本升级可能会让检测变得更加困难。即使您将大量资源用于分析一个版本,如果只有一个短期版本有恶意代码怎么办?当然,这也可以分析,但任何人都会打扰,除非有充分的理由(如恶意的迹象)?
但我认为你可以非常肯定主要供应商不会这样做。这对他们来说是不值得的,为什么他们呢?他们的风险很大,收益相对较低。