小米手机的 MiAdBlacklistConfig
一年多前的 2021年9月,立陶宛国家网络安全中心发布了多款手机的 审计报告,其中就有小米10T 的浏览器上传数据、MiAdBlacklistConfig(后文简称名单)和登录帐号时发送短信的风险,其中最引人注目就是名单。
这个名单被多个小米应用下载,存放到应用程序中,名单里的内容包含政治以及其他,然后应用具有根据此名单审查某种内容的功能,到这里所有人都能达成共识,但之后的情况就比较复杂了,因为审计报告里认为这是审查系统(的一部分),虽然并未启用,而 Adam Conway 通过 XDA 发布了澄清文章,表示此功能是过滤广告的清单。
此功能存在的理由,是广告可以很危险,比如 cnBeta 可能因为广告问题,就被取消解析了(cnBeta 的详细情况,我明天做一个时间线梳理一下)。还有一点就是「审查功能不一定有效(但一定要有)」,比如一些版本的小米相机 APP 里有一个 sensi_words.txt 文件,其中含有 253 个敏感词,被用作自定义水印。
sensi_words.txt 的敏感词这么少,有用么?当然没有什么用,很可能只是有人要求一切有自定义文字的地方,都要有审查系统,所以开发者随便应付一下,才制作了 MiAdBlacklistConfig 和 sensi_words.txt 这种几乎无用的敏感词名单吧,毕竟广告最应该过滤的是图片……
ggame | #原理
一年多前的 2021年9月,立陶宛国家网络安全中心发布了多款手机的 审计报告,其中就有小米10T 的浏览器上传数据、MiAdBlacklistConfig(后文简称名单)和登录帐号时发送短信的风险,其中最引人注目就是名单。
这个名单被多个小米应用下载,存放到应用程序中,名单里的内容包含政治以及其他,然后应用具有根据此名单审查某种内容的功能,到这里所有人都能达成共识,但之后的情况就比较复杂了,因为审计报告里认为这是审查系统(的一部分),虽然并未启用,而 Adam Conway 通过 XDA 发布了澄清文章,表示此功能是过滤广告的清单。
此功能存在的理由,是广告可以很危险,比如 cnBeta 可能因为广告问题,就被取消解析了(cnBeta 的详细情况,我明天做一个时间线梳理一下)。还有一点就是「审查功能不一定有效(但一定要有)」,比如一些版本的小米相机 APP 里有一个 sensi_words.txt 文件,其中含有 253 个敏感词,被用作自定义水印。
sensi_words.txt 的敏感词这么少,有用么?当然没有什么用,很可能只是有人要求一切有自定义文字的地方,都要有审查系统,所以开发者随便应付一下,才制作了 MiAdBlacklistConfig 和 sensi_words.txt 这种几乎无用的敏感词名单吧,毕竟广告最应该过滤的是图片……
ggame | #原理