这是一个创建于 3530 天前的主题,其中的信息可能已经有所发展或是发生改变。
Google Play 下载的 5.9.5 版, 没有给任何权限。 手机里腾讯系的除了 QQ 只有微信都是从 Google Play 安装 。 手机里的其它软件也都是从 Google Play 安装。 
目测是传到了应用宝的服务器,但是我手里根本没装应用宝。 各位怎么看? 可以向 Google Play 举报么?
 | 1 pig1983 2016-04-27 11:18:26 +08:00 如果是真的,果断举报丫的! |
 | 2 honeycomb 2016-04-27 11:18:28 +08:00 via Android 可能是 QQ 统计了手机中的全部应用,可以举报,但是不要指望 play 会有所反馈。 |
 | 3 moyaka OP @joeaki1983 其实要是我误操作了上传也就算了,关键是我手机放在一边什么都没做就 post 了,而且还是明文的=-=。 |
 | 5 Ley 2016-04-27 11:24:40 +08:00 我朋友之前通过应用宝下载了盗版的我的世界,结果手机屏幕上一直有一个悬浮窗口显示剩余内存,点进去就推荐下载安装腾讯手机管家。她一开始不懂也没在意,后来我帮她检查发现是我的世界被修改了,里面有这个插件。但那时候她我的世界玩了很久了不愿意删程序。后来通过一个我的世界存档备份工具搞定了问题,终于清静了。 另外,用微信打开 apk 下载链接会自动跳到应用宝页面。下载扇贝单词时,明明直接从官网下载,还威胁我说直接下载会有安全风险,建议安装应用宝下载。有点恶心 |
 | 6 asdwfwqd 2016-04-27 11:28:14 +08:00 在 google play 上面举报过 qq 不通过 google play 更新二进制文件,举报好几次了,都没结果了 qq 用了 lite 版,感觉国际版里面也是一堆游戏中心 |
| 8 moyaka OP @Ley 应用宝之类的都最好不要用。如果 Google Play 不好访问,酷安 http://coolapk.com/ 还是可以信任的。 |
 | 9 evernight 2016-04-27 11:34:28 +08:00 国内的互联网软件,大部分都会在后台 偷偷做一些超出 我们认为的 它的本职工作之外的事…… 这个 api 做了一件国内 android app 在后台经常做的事:将手机上所有的 app 的包名+版本号上传给了服务器 说的正面一些,它可能会给你推送一个 app 升级的 push ,建议用户升级某一些应用,这样 app 的盈利模式就有了 暗面的就不说了,大家都懂的~ 这个使用 android 手机基本上无法避免,因为 android 的开放性,大家后台都乱搞……,除非手机换苹果 这个 api 最大的错,是它 post 用户数据竟然不加密…… |
| 11 moyaka OP @evernight 对!突然想起来这个版本的 QQ 发送文字和图片都不是加密的,发送到服务器的图片都会被嗅探到。同门的微信至少聊天已经加密了。 |
 | 12 beginor 2016-04-27 12:38:34 +08:00 via Android 如果对 coolapk 上面的破解和修改版不感冒的话, coolapk 还拿测试版做更新, 推荐 apkpure , 收费的就没办法了 |
 | 13 Exin 2016-04-27 13:28:11 +08:00 应用宝……之前调试 App 的时候接着电脑开启 USB 调试, QQ 就自动给我装了应用宝,真恶心! |
 | 14 venster 2016-04-27 13:31:17 +08:00 via Android @Exin 我是临时插笔记本上充一会电,结果过一会拔下来发现多了个应用宝,问都不问我,气得我立刻把 QQ 卸了,去 zdfans 找了个绿色版装上。 |
 | 15 swim2sun 2016-04-27 13:32:50 +08:00 为什么会用 esri 的 logo 当头像 Σ(っ °Д °;)っ |
 | 16 vic2012 2016-04-27 13:39:05 +08:00 求问这是啥工具 |
 | 19 wuyu1998 2016-04-27 14:58:43 +08:00 使用第 3 方客户端,例如 pigdin |
| 21 asdwfwqd 2016-04-27 15:46:45 +08:00 @venster 插电脑上充电要用专门的 d+d-短接线,把 usb 接口里面的两根断路,只留+5v 和 0v ,充电速度快,不然手机能识别出来这是 usb 充电,电流只有 0.5A 有些机场里面的免费充电站,有专门的大屏幕教用户如何打开 adb 调试,然后一群人插着数据线连上去了 |
 | 22 dphdjy 2016-04-27 15:47:20 +08:00 via Android 建议手机断网,然后把整个 apk+data 数据全部 pull 出来并备份, QQ 国内的版本均采用了动态注入。。。和支付宝之前那个类似~但是不知道会不会随时更新~以防万一。。。 |
| 24 moyaka OP @dphdjy 已经 pull 出来了正在慢慢看,真不明白这些奇技淫巧为什么不用在正途。带着镣铐跳舞的人真能跳出各种花样。 |
 | 25 warcraft1236 2016-04-27 15:58:36 +08:00 我想知道你是怎么抓的包 |
 | 26 lianz 2016-04-27 16:10:15 +08:00 @warcraft1236 @moyaka 同问,看起来不错的工具。 |
| 27 moyaka OP  1 |
 | 29 ouqihang 2016-04-27 19:06:29 +08:00 via Android |
| 30 asdwfwqd 2016-04-27 20:13:40 +08:00 @ouqihang 你理解错了,充电站指导你打开 adb ,不是让充电速度变慢,是给你安装 app ,读取个联系人啥的。那种 2 芯的线,某宝上一大堆,我专门买来用 |
 | 32 ayaseangle 2016-04-27 20:46:41 +08:00 喜闻乐见,最简单的办法只能不用。。。。 |
 | 33 Phant0m 2016-04-27 22:21:30 +08:00 via iPhone 什么抓包工具? |
 | 34 McContax 2016-04-27 22:44:03 +08:00 国内软件一个吊样,区区百度 app 居然要全权限。淘宝什么的也是一个吊样,硬逼你从应用内更新,真不知道居心何在 |
 | 35 Lattez 2016-04-27 23:51:46 +08:00 为什么现在看到这种问题首先想到的都是你有 1000W 吗  (原谅我的不正经 |
 | 36 nvidiaAMD980X 2016-04-28 00:04:17 +08:00 via Android 你才知道啊 |
 | 37 syslykk 2016-04-28 13:10:17 +08:00 没有给任何权限是什么意思?用的什么权限管理工具? 查看已安装的应用是不需要权限的。除非你用 xprivacy 之类的,否则是无法阻止的。像 app settings 这样直接阻止权限的工具对此是没有用的。 而且,如果你用 xprivacy 阻止了 qq 的 getRunningAppProcesses , qq 就不能用了。 |
 | 38 chengzhoukun 2016-04-28 13:15:07 +08:00 android 就没限制这个 API ,不信你随便下个文件管理器,不给任何权限,然和打开“应用”标签页,照样能查看所有应用 |
| 39 moyaka OP @syslykk @chengzhoukun 没有给权限我想说的是没有给读取手机识别码的权限,但是上图中的 IMEI 确实是我手机的。 重点在私自上传,而且是明文 post 。 买菜刀的时候没有人会告诉你菜刀要限制怎么用,但是正常人都知道拿来伤人就是不对的。 |
| 41 moyaka OP @Lattez 所以昨天晚上我又拿了一台 nexus 6p 恢复了出厂设置,然后 Google play 下载了 QQ.登陆之后不久又看到同样的明文 post ,把整个过程录了下来。我也怕一千万 |
| 42 chengzhoukun 2016-04-28 15:55:53 +08:00 via Android 这…过分了 |
| 43 syslykk 2016-04-28 22:53:31 +08:00 @moyaka 那你的意思的是你的权限管理工具不牢靠喽,没给 qq 读取 imei 权限但它就是读到了。你用的什么权限管理工具? |
| 44 syslykk 2016-04-28 22:55:50 +08:00 @chengzhoukun 请问一下,我看到权限列表里有“检索正在运行的程序”这个项目,说明要查看正在运行的程序是需要权限的。但是通过 xprivacy 可以看到,没有这个权限的应用也能调用 getRunningAppProcesses ,这是为什么呢? |
Select Language