V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
moyaka
V2EX  ›  Android

Android QQ 会私自上传手机里的应用信息?

  •  
  •   moyaka · 2016-04-27 11:16:48 +08:00 · 12680 次点击
    这是一个创建于 3162 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Google Play 下载的 5.9.5 版, 没有给任何权限。 手机里腾讯系的除了 QQ 只有微信都是从 Google Play 安装 。 手机里的其它软件也都是从 Google Play 安装。 AQo.png 目测是传到了应用宝的服务器,但是我手机里根本没装应用宝。 各位怎么看? 可以向 Google Play 举报么?

    45 条回复    2016-04-28 23:34:13 +08:00
    pig1983
        1
    pig1983  
       2016-04-27 11:18:26 +08:00
    如果是真的,果断举报丫的!
    honeycomb
        2
    honeycomb  
       2016-04-27 11:18:28 +08:00 via Android
    可能是 QQ 统计了手机中的全部应用,可以举报,但是不要指望 play 会有所反馈。
    moyaka
        3
    moyaka  
    OP
       2016-04-27 11:22:29 +08:00
    @joeaki1983 其实要是我误操作了上传也就算了,关键是我手机放在一边什么都没做就 post 了,而且还是明文的=-=。
    moyaka
        4
    moyaka  
    OP
       2016-04-27 11:23:59 +08:00
    @honeycomb 我在看 Google Play 的条例,还不太清除按哪条反馈。
    Ley
        5
    Ley  
       2016-04-27 11:24:40 +08:00
    我朋友之前通过应用宝下载了盗版的我的世界,结果手机屏幕上一直有一个悬浮窗口显示剩余内存,点进去就推荐下载安装腾讯手机管家。她一开始不懂也没在意,后来我帮她检查发现是我的世界被修改了,里面有这个插件。但那时候她我的世界玩了很久了不愿意删程序。后来通过一个我的世界存档备份工具搞定了问题,终于清静了。

    另外,用微信打开 apk 下载链接会自动跳到应用宝页面。下载扇贝单词时,明明直接从官网下载,还威胁我说直接下载会有安全风险,建议安装应用宝下载。有点恶心
    asdwfwqd
        6
    asdwfwqd  
       2016-04-27 11:28:14 +08:00
    在 google play 上面举报过 qq 不通过 google play 更新二进制文件,举报好几次了,都没结果了
    qq 用了 lite 版,感觉国际版里面也是一堆游戏中心
    wy315700
        7
    wy315700  
       2016-04-27 11:30:36 +08:00
    @Ley 不是自动跳转,是微信屏蔽了其他链接,所以开发者都只能把微信点击的导向应用宝
    moyaka
        8
    moyaka  
    OP
       2016-04-27 11:32:39 +08:00
    @Ley 应用宝之类的都最好不要用。如果 Google Play 不好访问,酷安 http://coolapk.com/ 还是可以信任的。
    evernight
        9
    evernight  
       2016-04-27 11:34:28 +08:00
    国内的互联网软件,大部分都会在后台 偷偷做一些超出 我们认为的 它的本职工作之外的事……
    这个 api 做了一件国内 android app 在后台经常做的事:将手机上所有的 app 的包名+版本号上传给了服务器
    说的正面一些,它可能会给你推送一个 app 升级的 push ,建议用户升级某一些应用,这样 app 的盈利模式就有了
    暗面的就不说了,大家都懂的~
    这个使用 android 手机基本上无法避免,因为 android 的开放性,大家后台都乱搞……,除非手机换苹果

    这个 api 最大的错,是它 post 用户数据竟然不加密……
    moyaka
        10
    moyaka  
    OP
       2016-04-27 11:34:43 +08:00
    @asdwfwqd Google Play 貌似不反编译给出源码级的证据都不会通过的,等下班回去试试看。
    moyaka
        11
    moyaka  
    OP
       2016-04-27 11:38:54 +08:00
    @evernight 对!突然想起来这个版本的 QQ 发送文字和图片都不是加密的,发送到服务器的图片都会被嗅探到。同门的微信至少聊天已经加密了。
    beginor
        12
    beginor  
       2016-04-27 12:38:34 +08:00 via Android
    如果对 coolapk 上面的破解和修改版不感冒的话, coolapk 还拿测试版做更新, 推荐 apkpure , 收费的就没办法了
    Exin
        13
    Exin  
       2016-04-27 13:28:11 +08:00
    应用宝……之前调试 App 的时候接着电脑开启 USB 调试, QQ 就自动给我装了应用宝,真恶心!
    venster
        14
    venster  
       2016-04-27 13:31:17 +08:00 via Android
    @Exin 我是临时插笔记本上充一会电,结果过一会拔下来发现多了个应用宝,问都不问我,气得我立刻把 QQ 卸了,去 zdfans 找了个绿色版装上。
    swim2sun
        15
    swim2sun  
       2016-04-27 13:32:50 +08:00
    为什么会用 esri 的 logo 当头像 Σ(っ °Д °;)っ
    vic2012
        16
    vic2012  
       2016-04-27 13:39:05 +08:00
    求问这是啥工具
    moyaka
        17
    moyaka  
    OP
       2016-04-27 14:23:30 +08:00
    @swim2sun 作为一个 GISer ,上传头像的时候顺手选了一个。
    moyaka
        18
    moyaka  
    OP
       2016-04-27 14:32:12 +08:00
    @vic2012 工具?我用的是 ettercap
    wuyu1998
        19
    wuyu1998  
       2016-04-27 14:58:43 +08:00
    使用第 3 方客户端,例如 pigdin
    Slienc7
        20
    Slienc7  
       2016-04-27 15:05:37 +08:00 via Android
    @asdwfwqd 你需要提供有效证据。例如参照之前某举报支付宝的人的方法。
    asdwfwqd
        21
    asdwfwqd  
       2016-04-27 15:46:45 +08:00
    @venster 插电脑上充电要用专门的 d+d-短接线,把 usb 接口里面的两根断路,只留+5v 和 0v ,充电速度快,不然手机能识别出来这是 usb 充电,电流只有 0.5A
    有些机场里面的免费充电站,有专门的大屏幕教用户如何打开 adb 调试,然后一群人插着数据线连上去了
    dphdjy
        22
    dphdjy  
       2016-04-27 15:47:20 +08:00 via Android
    建议手机断网,然后把整个 apk+data 数据全部 pull 出来并备份, QQ 国内的版本均采用了动态注入。。。和支付宝之前那个类似~但是不知道会不会随时更新~以防万一。。。
    moyaka
        23
    moyaka  
    OP
       2016-04-27 15:54:57 +08:00
    @asdwfwqd 免费的其实是最贵的。
    moyaka
        24
    moyaka  
    OP
       2016-04-27 15:57:40 +08:00
    @dphdjy 已经 pull 出来了正在慢慢看,真不明白这些奇技淫巧为什么不用在正途。带着镣铐跳舞的人真能跳出各种花样。
    warcraft1236
        25
    warcraft1236  
       2016-04-27 15:58:36 +08:00
    我想知道你是怎么抓的包
    lianz
        26
    lianz  
       2016-04-27 16:10:15 +08:00
    @warcraft1236 @moyaka 同问,看起来不错的工具。
    moyaka
        27
    moyaka  
    OP
       2016-04-27 16:13:25 +08:00   ❤️ 1
    @lianz
    @warcraft1236
    Ettercap 。本来是想测试一下 App 联网的情况,结果发现电脑开不了热点于是就用了一把牛刀。
    lianz
        28
    lianz  
       2016-04-27 16:28:17 +08:00
    @moyaka 感谢
    ouqihang
        29
    ouqihang  
       2016-04-27 19:06:29 +08:00 via Android
    国内的应用都那个尿性,美名曰统计, iOS 平台上也有。

    @asdwfwqd 那种 2 芯的线不好找。话说打开了调试或手机认为接到了电脑,充电会很慢,这样充电站的目的就达不到了。
    asdwfwqd
        30
    asdwfwqd  
       2016-04-27 20:13:40 +08:00
    @ouqihang 你理解错了,充电站指导你打开 adb ,不是让充电速度变慢,是给你安装 app ,读取个联系人啥的。那种 2 芯的线,某宝上一大堆,我专门买来用
    dphdjy
        31
    dphdjy  
       2016-04-27 20:42:06 +08:00 via Android
    @moyaka 以及 dex 拆完了~求发一份~我这边一直 OOM~
    ayaseangle
        32
    ayaseangle  
       2016-04-27 20:46:41 +08:00
    喜闻乐见,最简单的办法只能不用。。。。
    Phant0m
        33
    Phant0m  
       2016-04-27 22:21:30 +08:00 via iPhone
    什么抓包工具?
    McContax
        34
    McContax  
       2016-04-27 22:44:03 +08:00
    国内软件一个吊样,区区百度 app 居然要全权限。淘宝什么的也是一个吊样,硬逼你从应用内更新,真不知道居心何在
    Lattez
        35
    Lattez  
       2016-04-27 23:51:46 +08:00
    为什么现在看到这种问题首先想到的都是你有 1000W 吗 (原谅我的不正经
    nvidiaAMD980X
        36
    nvidiaAMD980X  
       2016-04-28 00:04:17 +08:00 via Android
    你才知道啊😅
    syslykk
        37
    syslykk  
       2016-04-28 13:10:17 +08:00
    没有给任何权限是什么意思?用的什么权限管理工具?
    查看已安装的应用是不需要权限的。除非你用 xprivacy 之类的,否则是无法阻止的。像 app settings 这样直接阻止权限的工具对此是没有用的。
    而且,如果你用 xprivacy 阻止了 qq 的 getRunningAppProcesses , qq 就不能用了。
    chengzhoukun
        38
    chengzhoukun  
       2016-04-28 13:15:07 +08:00
    android 就没限制这个 API ,不信你随便下个文件管理器,不给任何权限,然和打开“应用”标签页,照样能查看所有应用
    moyaka
        39
    moyaka  
    OP
       2016-04-28 13:42:21 +08:00
    @syslykk
    @chengzhoukun
    没有给权限我想说的是没有给读取手机识别码的权限,但是上图中的 IMEI 确实是我手机的。
    重点在私自上传,而且是明文 post 。
    买菜刀的时候没有人会告诉你菜刀要限制怎么用,但是正常人都知道拿来伤人就是不对的。
    moyaka
        40
    moyaka  
    OP
       2016-04-28 13:42:53 +08:00
    @dphdjy 我也遇到了 OOM=-=
    moyaka
        41
    moyaka  
    OP
       2016-04-28 13:48:27 +08:00
    @Lattez 所以昨天晚上我又拿了一台 nexus 6p 恢复了出厂设置,然后 Google play 下载了 QQ.登陆之后不久又看到同样的明文 post ,把整个过程录了下来。我也怕一千万
    chengzhoukun
        42
    chengzhoukun  
       2016-04-28 15:55:53 +08:00 via Android
    这…过分了
    syslykk
        43
    syslykk  
       2016-04-28 22:53:31 +08:00
    @moyaka 那你的意思的是你的权限管理工具不牢靠喽,没给 qq 读取 imei 权限但它就是读到了。你用的什么权限管理工具?
    syslykk
        44
    syslykk  
       2016-04-28 22:55:50 +08:00
    @chengzhoukun 请问一下,我看到权限列表里有“检索正在运行的程序”这个项目,说明要查看正在运行的程序是需要权限的。但是通过 xprivacy 可以看到,没有这个权限的应用也能调用 getRunningAppProcesses ,这是为什么呢?
    moyaka
        45
    moyaka  
    OP
       2016-04-28 23:34:13 +08:00
    @syslykk
    我说了重点不在给没给权限和读没读到。
    重点在私自上传,而且是明文 post 。
    就好比我会开锁,难道我就能去开你家的锁么?
    不觉得头上有点绿?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2592 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 15:33 · PVG 23:33 · LAX 07:33 · JFK 10:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.