最近我琢磨着要搞点小测试,有些老游戏非得root权限才能玩,但是我这主力机是绝对不能root的,不然微信支付宝那些安全软件全得炸毛。所以我就盯上了那些虚拟机的玩意儿,选定了VMOS。我是真想看看,这东西到底能不能像宣传的那样,做到真正的“沙盒”隔离。
第一次接触:下载和权限的“霸道”
我这人比较小心,下载之前把各路论坛都翻了个遍,都在说VMOS是目前安卓上做得比较成熟的。信了邪,我直接就去官网拉了个安装包回来。这不拉不知道,一拉吓一跳。
刚安装完点开,它要权限那叫一个霸道。定位、存储、通知、还有悬浮窗,几乎把我手机能给它的权限都要了一遍。我当时心里就咯噔一下,心想:这玩意儿不是说只是个“沙盒”吗?要这么多权限干
我当时就暂停了,没着急进去。我把手机设置里的权限请求记录翻了出来,仔细研究了半小时。发现它要这些权限,主要还是为了实现“虚拟机里的应用能跟外面无缝互动”这个功能,比如你要传文件进去,没存储权限肯定不行。但这么一股脑全要走,感觉就像请了个大爷进门。
实际折腾:隔离效果与“后门”发现
我硬着头皮给了权限,启动虚拟机。速度确实挺快,进去就是一套新的安卓系统,干净利索。我赶紧把我准备测试的几个“高风险”APP丢进去跑了一圈,主要想看它到底隔离得怎么样。
- 隔离测试:我故意在虚拟机里输了一个假的支付宝密码,然后立刻切回主系统看有没有异常,发现数据确实是隔离的很彻底,主系统安安静静,没有受到任何影响。主系统的安全是保住了。
- 性能观察:内存占用是真不小。我手机运存8G,开着VMOS,后台杀得那叫一个欢快,性能损耗很大,玩不了太吃配置的游戏。
- “真相”浮现:关键来了。我用后台流量监控工具观察了它几天。发现VMOS本身这个APP,在后台偷偷摸摸的,流量消耗一直没停过。虽然数据量不大,但一直有上报行为。
我特意抓了几个数据包,用我那三脚猫的逆向知识分析了一下,虽然没法完全解密,但能确定它在往一个境外的服务器发信息,大部分是日志信息和设备标识符,但里面夹带着一些我虚拟环境里的操作记录。这可把我给整懵了,说好的绝对隐私?原来它不偷我主系统的东西,它偷的是我“沙盒”里的操作习惯。
我的结论和给你们的建议
折腾了老半天,我的实践记录得出这么个VMOS安全吗?它对你主系统的数据是安全的,隔离效果没得说,这是它最大的价值。但如果你问它有没有“偷窥”你虚拟机里的操作,那答案是肯定的,毕竟它要生存,肯定要收集一些使用数据来优化和投放。
如果你只是想找个地方安全地玩root游戏,或者测试一个不确定安全的APP,VMOS是目前最好的选择。它保护了你的“本体”。但如果你想在虚拟机里干什么“机密”大事,或者涉及敏感金钱操作,我劝你还是算了,毕竟它要的权限太多了,而且后台数据上报的行为是实打实的。知道这些真相后,你再决定用不用,心理就有数了。
