支付宝的键盘记录器
今天收到转来的 支付宝涉嫌耍流氓 监控用户键盘 。
从技术上我能理解这个软件为什么要这样做。
中国的流氓软件很多,病毒很多。许多电脑都是带病毒运行。有些病毒就监控了用户键盘,盗取用户的输入密码。所以支付宝为了安全,就必须重新抢过键盘的监控权,才放心让用户输入。否则,用户的密码被盗了,还抱怨支付宝不够安全。
为什么中国的流氓软件多,病毒多?因为许多人都是用盗版windows,都不执行Windows的自动更新。这个自动更新干什么用的?是安装补丁的。微软做出windows之后,大家到处找漏洞;没有漏洞的软件是不存在的,你也知道。因此,发现漏洞了,微软就发布补丁来堵漏洞。如果你不执行自动更新,那么漏洞就一直开着,等着病毒的攻击。这就是中国Windows的现状。有些政府单位全部用盗版软件,所以在黑屏事件时,上级单位还发通知如何应对。而且,国内用户的安全意识不强,许多人认为:我电脑里没什么秘密,所以有病毒也无所谓。
所以我说,从技术上我能理解支付宝为什么要这样做。但是从公关的角度上,它可以作更好的。比如说,它可以给那些杀毒软件送一个样本,告诉他们这些文件是我的正常软件,杀毒软件就不会因它而报警了。或者,把这个“与病毒抢制空权”的原理告诉大家,大家也就没有什么埋怨了。
其实,用软件是要讲缘分的。你用一个软件,就表示你信任这个软件和后面的公司不会对你不利。我在《一段黑客经历》里就提到:
软件的使用本身就是建立在相互信任的基础上的 ,如果如此滥用别人的信任,这个世界已经完蛋了。例如,我们为了聊天,从网上下载,或者用软盘拷了oicq并执行,但是你怎么知道这个软件里没有一个代码准备格式化你的硬盘呢?甚至,微软的windows除了将你的注册信息发给微软公司之外,是否还把你硬盘里的秘密发送出去了呢?如果对网络的东西毫无防范,你死了都不知道怎么回事;但是如果完全基于不信任主义,我们就只能使用自己编制的软件。我们只能在这中间找一个平衡。