比如,它可不可以知道我有没有装 YouTube ?
没有做过 iOS 开发,不清楚这玩意权限有多大。
如果我什么权限都不给它,它能收集到多少信息?
1
lovedoing 2022-08-19 17:06:10 +08:00 9
可以知道,油管有 url schema ,只要尝试拉起一下就知道,比如之前支付宝就用 url schema 尽可能扫描已安装的 app
|
2
kera0a 2022-08-19 17:09:22 +08:00
获取不到啥,但有可能获取到你是否安装 YouTube
具体验证方式就是下载 ipa 包,解压看里面 info.plist 里 query scheme 里有没有 youtube |
3
FKTHECCP 2022-08-19 17:18:27 +08:00 8
不排除 Apple 中国会给这个 app 调用私有 API 开绿灯。
|
4
icyalala 2022-08-19 17:22:19 +08:00 3
也不排除它自己混淆后调用私有 API
|
5
Cavolo 2022-08-19 17:24:17 +08:00 via iPhone
终于有这贴了
|
6
Building 2022-08-19 17:25:01 +08:00 via iPhone
所以,到底是油管不安全还是反诈不安全?
|
8
okakuyang 2022-08-19 18:00:25 +08:00
可以获取是否装了油管,但是在 ios15 后能获取到的 App 限制在了 50 个。
|
9
devHang 2022-08-19 18:04:28 +08:00
能收集的信息有限,YouTube 可以获取
|
10
safarigu 2022-08-19 18:04:34 +08:00
为什么美区搜索不到这个 App ?
|
11
wildlynx 2022-08-19 18:49:58 +08:00 via iPhone
用一个老手机装这个就好了
|
12
Kanna 2022-08-19 18:55:15 +08:00
学习强国当时用了,整个界面+九宫格键盘字体+状态栏都给改成宋体了,退出来键盘都是宋体,其他 APP 从来没见过的
|
13
Kanna 2022-08-19 18:56:28 +08:00
开绿灯是肯定的,个人开发这种肯定拒了
|
14
DTCPSS OP 有没有逆向巨巨来逆向一波
|
15
LotusChuan 2022-08-19 20:13:49 +08:00
苹果实际权限可以开很大,远程看屏幕都行;不过你又买苹果又权限关得这么利索的,被低端手段诈骗也不怎么可能,人家管这属于是没事找事,不如省点开发的工资多找几个人给那些容易被骗的群体多打几个电话。我之前被老家的局子打过电话,对面一听我不像老人也不像什么人傻钱多的主,用方言寒暄了两三句小心别被骗就直接挂了;后来隔了半年估计是负责我那块的人换了,另一个人又打了一次,和上一个一样也是扯几句就挂了,之后就再没打过电话。
|
16
xtinput 2022-08-19 22:21:38 +08:00
可以通过 canOpenURL 判断是否安装,目前不需要白名单就可以调用
|
17
iAndychan 2022-08-20 04:35:39 +08:00
@LotusChuan 这让我想起来上个月被诈骗,骗子让我下载 Anydesk ,然后我和骗子在通话的时候,我打开 Anydesk ,app 就自动弹出是否允许被监视屏幕。我直接震惊了,是直接知道我手机号就能通过 app 远程监视?,当然最后没被骗(人在美国
|
18
20160409 2022-08-20 08:42:05 +08:00 via Android
@FKTHECCP 当年因为权限问题,WiFi 钥匙 app 在 iOS 上还没完全兴起时,只有万能钥匙这个寡头在做,当时 q 群里有万能钥匙团队的,记得他说他们公司就是靠门路弄到的权限。
|
19
20160409 2022-08-20 08:42:27 +08:00 via Android
#3
|
20
B3UzMhCd3dDvVVLa 2022-08-20 10:09:09 +08:00
我曾亲眼见到 iPhone se2 过刚接到境外诈骗电话,不到两分钟就收到社区派出所打来的提醒电话。这个手机安装了诈骗 app 又从公众号上报备了,而且没开后台运行,所以我猜是和程序本身关系不大的,应该是因为之前手机号报备给了社区派出所,电信运营商后台自动检测来电号码,并通知社区派出所的
|
21
mengfanhu 2022-08-20 11:01:32 +08:00 via iPhone 1
@CrazyUniverse 我没装这个 app 接过 00 开头的电话也会收到反诈中心电话
我说你们警察不去抓骗子找我干嘛 工作人员说自己不是警察,我说我怎么知道你不是骗子 后来接到 00 电话只会收到短信 再也不会收到反诈中心电话了 |
22
mengfanhu 2022-08-20 11:11:52 +08:00 via iPhone
@CrazyUniverse 没装这个 app (警察上门让装,装完卸载了) 我自己 Gvoice 打 iPhone 的电话也会收到反诈中心电话
我说你们警察不去抓骗子找我干嘛 工作人员说反诈中心不是警察,我说我怎么知道你不是骗子 他说反正通知到你了 后来接到 00 电话只会收到短信 再也不会收到反诈中心电话了 |
23
TeslaLyon 2022-08-20 11:32:22 +08:00
记得前几年通过 iOS 同事得知可以扫描本地应用的 Bundle ID 什么的,用来检测用户是否安装了某个 app 。
|
24
gzf6 2022-08-20 11:46:17 +08:00
预设立场的讨论没什么价值
|
25
LotusChuan 2022-08-20 12:11:28 +08:00
@iAndychan
我目测是你的 Apple ID 绑了你的手机号,或者说对方通过某种方式知道了你的 Apple ID 绑的其他账号(如邮箱),因为苹果本身是可以通过 Apple ID 远程看屏幕的,那么如果它同时提供了非内核的接口,第三方 app 是可以调用的。所以说不排除苹果不提示权限确认而直接监视屏幕的可能,毕竟弹不弹窗口也就一条语句的事。最后在国外诸事小心:) |
26
quenho 2022-08-21 15:13:55 +08:00
为何要装反诈中心 app ?
|
27
shirushi 2022-08-21 16:01:00 +08:00
还至于装反诈吗,云上贵州上面该有的信息差不多都有了 😂
|
28
DogeFlyKite 2022-08-22 18:12:40 +08:00
@xtinput 不加白名单的话 canOpenURL 会返回 false 的(我没记错的话
|
29
xtinput 2022-08-22 18:28:30 +08:00
@DogeFlyKite 那是之前,现在不加也会返回正确的结果,我才试了
|
30
DogeFlyKite 2022-08-23 10:30:15 +08:00
@xtinput 刚试了一下,xcode 13.4.1 ,iOS 15.6.1 ,直接新建了个项目调 canOpenUrl ,结果是 false ,控制台输出了-canOpenURL: failed for URL: "wechat://" - error: "This app is not allowed to query for scheme wechat"
加了白名单后正确地返回了 true |
31
xtinput 2022-08-23 12:59:00 +08:00
@DogeFlyKite 那就奇怪了,我没加白名单 weixin:// 返回 true 了
|
32
taosw879 2022-09-01 19:39:56 +08:00 via iPhone
那到底要不要装
|
33
Froghunter 2022-09-10 16:40:00 +08:00 via iPhone
我只知道 iOS 那帮越狱开发者或者盘古团队或者某些安全团队可以通过用户点击他们制作网页 3 秒内获取你手机 root 权限,不知道大厂有没有这些能力。
|
34
Chengnan049 2022-09-10 17:18:53 +08:00 via Android
@iAndychan AnyDesk 本来不就是要申请这个权限才能被远程么,实际上你给官方打电话说哪儿哪儿不会用,他们也能远程你,不过会弹窗请求你是否允许
|
35
iAndychan 2022-09-11 03:27:21 +08:00
@Chengnan049 Apple 官方知道我的 Apple ID ,而且会索要一个 pin 。那么那个骗子怎么通过 anydesk 直接弹窗要求监视我屏幕呢?
|
36
Chengnan049 2022-10-01 07:27:32 +08:00 via Android
@iAndychan AnyDesk 不是开源软件来着么?用户量那么大,如果是私自开的接口应该早出事儿了
|