准备工作
今儿个刚睡醒就惦记着试试那个安卓上挺火的"夏天的秘密",好奇它官方原版到底靠不靠谱。我翻箱倒柜找出三台吃灰的老安卓机:一台华为P30、一台小米9、还有台更老的OPPO备用机。寻思着用不同系统来测,心里更踏实点。
先去自家电脑上查了一圈资料,想确认这软件的"正宫"到底是谁。这软件名字太常见了,搜索结果里乌泱泱一堆名字差不多的网站和下载站,搞得我眼花缭乱。我挨个点开看,盯着那些网页的底脚版权信息和域名看了老半天,总算靠着一份外网开发者论坛的截图基本确认了哪个像是"官家"的门脸。
下载安装踩坑
我先在华为P30上用自带浏览器输入那个"官网"地址。好家伙,这页面做的真简陋,就几行字加个巨显眼的绿色下载按钮。我手指头一点,下下来一个.apk文件,系统直接跳出警告:"该应用来源不明,存在风险",下面给了继续安装或者取消的选项。我这人倔,咬咬牙选了"继续安装"。安装完一打开,好么,瞬间满屏弹窗广告乱跳,手机还嗡嗡震个不停,跟抽风似的。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
不死心!我又在小米9上重复这步操作,还是一模一样的祖宗待遇。心里咯噔一下:这"官网"下回来的玩意儿咋这德性?果断卸载了。
接着换思路,跑国内几个大型应用商店去搜。在商店版本倒是干干净净,没弹窗。但我特意看了应用详情里的"开发者"认证信息,发现签名证书对不上我在那简陋官网上瞄到的!明显就是被重新打包过的。
抓包检测过程
这下真来劲儿了。我搬出吃灰的旧笔记本,打开那个开发者调试工具,数据线把OPPO备用机连上去,配置好代理。重新在备用机上访问那个简陋官网,下载应用的笔记本屏幕上那堆抓包数据哗往上滚。
我盯着那些请求地址看,重点找应用启动后它偷偷连了哪些地方。不查不知道,一查吓一跳:
- 加载内容时:至少有3个请求地址明显不对劲,指向一些压根没在官方文档里提过的第三方域名;
- 权限请求:在后台悄悄申请了读取短信权限和访问精确位置的权限,这跟它声称的"纯净看本地小说"功能八竿子打不着;
- 通讯状态:手机没打开任何文件,它就自己尝试往三个奇怪的IP地址发加密数据包,还失败了,在调试日志里一直刷报错信息。
跟网友对线
顺手在几个群里提了一嘴这发现。立马有人跳出来嚷嚷:"官网怎么可能不安全!肯定是你自己手机不干净!" 我直接反手就把刚刚抓出来的那几个第三方域名截图、还有权限请求截图甩群里:"瞅瞅,你家'原版'官网下载的APP要读取短信、传加密数据,这叫安全?应用商店的版本至少只敢加广告不敢要短信权限!" 群里瞬间安静了。
结论和碎碎念
折腾大半天,算是整明白了:它这所谓的"官方网站"就是个摆设,下载链接十有八九被劫持或者官方自己偷懒没维护!下回来那个安装包既没做正经的签名认证,又藏着乱七八糟的后门行为,安全风险一点不比那些小网站的低。真要下,反而那些大应用商店里的改包版本稍微"干净"点——至少广告是明着来的,不会偷摸要你短信权限。
说来也无奈,这年头找个官方渠道都跟破案似的。去年给一外包公司做测试项目也这样,客户非强调必须从他们"官网"下载SDK包。结果下回来的东西绑了个挖矿脚本,安装后直接把我测试机当矿机使唤了,风扇狂转!气得我抄起电话就质问,那边支吾半天才承认官网服务器被黑了半年没人管!这事我都没要赔偿,当场跟中间人甩了句"这钱我不赚了",直接拉黑走人。
现在这项目甲方还挂在招聘网上找测试,工资倒是从15K一路涨到快30K了,我看悬,谁敢去。
