Tik Tok因泄露隐私遭受制裁？程序员都懂：欲加之罪，何患无辞！

从华为5G技术受到欧美各国抵制，到舆论纷纷的印度封禁国产APP再到上周末沸沸扬扬的海外Tik Tok封禁事件，其中频频被提及的就是所谓的窃取科技机密、所谓的泄露用户数据隐私。

之前新闻就曝光过一批偷窥用户隐私的APP，这些APP伸手所及之处无不令人触目惊心；这样的案例在国外也同样是屡见不鲜，Facebook的泄露门事件就是最好的佐证。

都说科技无罪，有罪的是那些在软件设计和应用开发过程中别有用心地植入某些有利于自身却有损于用户的“肮脏”功能。

获取权限是APP收集用户信息行为数据的基础。对一款APP来说，它所需要获取的权限包括必需权限、非必需权限。

必需权限，顾名思义，就是不授权就没有办法正常使用APP。比如美颜相机类APP需要获取相机权限，地图APP需要获取位置权限。类似这样的权限，用户只能乖乖授权，不然就不能使用，这里并不存在什么操作空间。

但非必需权限就有点东西了。

这些权限不授权不会影响正常使用，授权可以让用户体验有所提升。比如一些新闻APP，如果获取了位置权限，它就可以更精准地推送用户身边的新闻资讯。但同时，用户的位置信息就被APP拿到了。

这样一来，这类权限的获取就变成了APP和用户之间的博弈。

如果用户认为APP值得信任，并且有意愿享受到更加精准个性化的服务，那就有很大可能允许授权。但如果用户不信任APP，并能够接受不那么精准贴切的服务，那基本上就不会允许授权。

同样一款APP在IOS端和Android端获取授权的方式也有所差异。因为IOS系统只有一次请求权限的机会。一旦失去这次请求机会，再想获得权限，则需要用户通过相当繁琐的系统设置来授权。但Andriod端则不存在这样的困难。

每一次系统授权请求弹窗都是很宝贵的机会，为了保护这次机会，APP往往会采取自己写预授权弹窗的形式来探用户的口风。用户在预授权弹窗同意后才会调用系统授权请求，这样一来就能够大大增加拿到授权的成功率。

不管怎样，APP会想方设法诱导用户授权，这是不争的事实。

非必需权限，对用户而言只是服务体验的提升而已，但对企业来说，拿到这些授权无异于拥有了一座金矿！

举个简单的例子。

这样一来，不光能节省大量的市场研究成本，更能节省大量营销成本。

尽管会让一些用户感觉到有那么一丝丝被视奸的不适，但最终结果都至少包括更好地为用户提供服务。这也只是正常合法的商业行为，不信去看看APP的服务框架协议。

值得注意的是，这些用户信息数据一旦遭到泄露，我们每个人就无异于在网络上裸奔。

我们的账号、密码、手机号、位置、爱好、生日这些都只是最粗浅的信息，个人履历、家庭住址、身份证号、银行卡号、收入情况等信息，只要有人想知道，就能够被查到。

想必大家都听说过人肉搜索，这没有多么困难。甚至存在只要知道手机号，就能把那个人的所有信息扒个底朝天的极端案例。一个人使用的社交平台越多，就越容易被查到越多的真实信息。但这些根本不需要拥有个人信息数据。

试想一下，平时最了解你的喜怒哀乐的短视频APP，最关注你的财政状况的金融APP，最理解你的舌头和胃的外卖APP，这些APP日复一日收集分析所依仗用户信息数据泄露了。

那些最懂你的它们，马上就会变成最致命的威胁！

近年来，随着信息泄露事件频发，信息安全也越来越受到用户和各大企业的重视，安全测试也逐渐成为了保障信息安全的重要手段。

安全测试是在软件产品生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品是否符合安全需求定义和产品质量标准的过程。

与以发现bug为目标的普通测试不同，安全测试通常是以发现安全隐患为目标，包括系统的功能、机制、外部环境、应用与数据自身安全风险与安全属性等等。如何找出软件存在的可能造成数据泄露的风险和漏洞，就包含在安全测试的工作内容之中。

毕竟，我们现在已经身处信息化时代了，谁拥有大数据，谁就拥有市场，谁就拥有话语权。这并不是一句笑话。

但欲戴皇冠，必承其重。用户将权限开放给软件公司，是为了获得更好的服务。软件公司有义务有责任保护好这些个人信息数据和用户的信任。如果只是坐拥大数据却不懂得加以保护，那这样的企业吃枣药丸。

我们做软件测试，不光要保证软件能够满足用户的使用需求，更要让用户能够用得安心，用得放心。
 

也许现在，还有很多公司没有意识到安全测试的重要性，但这就是软件测试的未来发展趋势。

如果你还不会安全测试，如果你还不会软件测试，来汇智动力，我们教你！