V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
aveline
V2EX  ›  程序员

请不要使用聚合数据的 SDK

  aveline ·
ym · 2014-10-30 16:17:37 +08:00 · 33822 次点击
这是一个创建于 3764 天前的主题,其中的信息可能已经有所发展或是发生改变。
嗯 ... 虽然增加了它的曝光率还是说一下比较好 :-(

聚合数据(juhe.cn)的 SDK 启动时会要求读取通讯录的权限,然后加密发回到他们的服务器上。

通讯录数据内容并未做任何的脱敏处理,更加过分的是,特么的一个字段都没拉下啊 ...

姓名、昵称、地址、E-mail、手机号、组织等均被上传了
第 1 条附言  ·  2014-10-30 17:52:51 +08:00
拿没在用的 iPhone 5 擦除,然后添加了虚假的通讯录条目。

重新跑了测试了下 SDK,发送的数据及解密后的原文见 Gist:

contacts.png
view raw contacts.png hosted with ❤ by GitHub
{
"sim" : "中国电信",
"lat" : "0.000000",
"type" : "iPhone OS",
"os" : "8.1",
"pname" : "com.thinkland.JuheApisDemo",
"lon" : "0.000000",
"imei" : "069a8137b83d3aa4e0e98a00543c72bbab23980d",
"openid" : "JH1a5e42462c03dbec36c224c33fa0be65",
"model" : "iPhone",
"network" : "CTRadioAccessTechnologyCDMA1x",
"idfa" : "028BDC88-8DDB-4A87-B4EC-E4605089C9FE"
}
GET /api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
Host: sdk.juhe.cn
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: zh-Hans;q=1
Connection: keep-alive
User-Agent: JuheApisDemo/1 (iPhone; iOS 8.1; Scale/2.00)
{
"os" : "8.1",
"pname" : "com.thinkland.JuheApisDemo",
"imei" : "069a8137b83d3aa4e0e98a00543c72bbab23980d",
"model" : "iPhone",
"openid" : "JH1a5e42462c03dbec36c224c33fa0be65",
"idfa" : "028BDC88-8DDB-4A87-B4EC-E4605089C9FE",
"type" : "iPhone OS",
"network" : "CTRadioAccessTechnologyCDMA1x",
"sim" : "中国电信",
"lat" : "",
"lon" : "",
"list" : [
{
"listNickname" : [
{
"nickname" : ""
}
],
"listAddress" : [
{
"formatAddress" : "{\n Country = \"\\U4e2d\\U56fd\";\n CountryCode = cn;\n Street = addr;\n}",
"region" : "",
"postCode" : "",
"city" : "",
"street" : ""
}
],
"contactId" : "1",
"listPhone" : [
{
"phoneNumber" : "13913913913",
"phoneType" : "iOS"
},
{
"phoneType" : "iOS",
"phoneNumber" : "010100"
},
{
"phoneNumber" : "02310010",
"phoneType" : "iOS"
}
],
"listOrganizations" : [
{
"title" : "",
"company" : "公司"
}
],
"disPlayName" : "姓氏名称",
"listNoteinfo" : [
{
"noteinfo" : ""
}
],
"listEmail" : [
{
"emailValue" : "test@example.com",
"emailType" : ""
}
]
}
]
}
POST /initialize HTTP/1.1
Host: sdk.juhe.cn
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 2848
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Accept-Language: zh-Hans;q=1
Connection: keep-alive
User-Agent: JuheApisDemo/1 (iPhone; iOS 8.1; Scale/2.00)
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
第 2 条附言  ·  2014-10-31 09:41:16 +08:00
iOS 与 Android 分别于昨天晚上和今天早上已经更新,不再上传通讯录。

同时,老版本的 SDK 下载也都删掉了,不过我本地有备份啊。

以及做贼心虚的时候太紧张了吧,Changelog 里把 Android SDK 都打成 iOS SDK 了 :-D


94 条回复    2019-05-25 11:08:10 +08:00
fdb713
    1
fdb713  
   2014-10-30 16:23:23 +08:00
点个蜡烛
sanddudu
    2
sanddudu  
   2014-10-30 16:26:40 +08:00 via iPhone
有抓包的截图吗
eriale
    3
eriale  
   2014-10-30 16:28:07 +08:00   ❤️ 3
66450146
    4
66450146  
   2014-10-30 16:30:36 +08:00
他们居然还加密了,简直良心(喂
aveline
    5
aveline  
OP
   2014-10-30 16:31:45 +08:00
抓包是加密的,我给个解密后的结构化数据的截图吧。

隐私数据已经打码。

aveline
    6
aveline  
OP
   2014-10-30 16:34:53 +08:00
@eriale 我知道这事儿,但是觉得产品看起来不错就试用了下。
:-) 果然不能太相信国内厂商的道德水平
beddo
    7
beddo  
   2014-10-30 16:39:23 +08:00
我赞助工具,真人PK。
地址:苏州市园区 生物纳米园 C2栋101 新科兰德科技有限公司
联系电话:0512-62391880
传真:0512-62391880
wangyongbo
    8
wangyongbo  
   2014-10-30 16:43:26 +08:00
幸好,我们只使用了它的API。没有内嵌SDK
unionx
    9
unionx  
   2014-10-30 16:55:34 +08:00
看热闹不怕事儿大
mgc
    10
mgc  
   2014-10-30 16:57:13 +08:00   ❤️ 11
10月27日,由聚合数据主办的2014聚合开发者大会(JDDC)在北京国际会议中心隆重召开。座上宾有老牌密码明文存储先驱CSDN,中文第二搜索引擎360搜索,京东金融,微软云计算中国,蓝港在线,皮包公司sdk.cn等和一些资本合伙人,基金经理人等
fengchang
    11
fengchang  
   2014-10-30 16:57:50 +08:00
我去...幸好我也只用了它的API

另外说起来聚合的服务还是不错的,还有一家叫HaoService的服务整天各种出错,还不如聚合
fengchang
    12
fengchang  
   2014-10-30 16:58:34 +08:00
@mgc 老牌密码明文存储先驱CSDN 哈哈哈笑死我了
arslion
    13
arslion  
   2014-10-30 17:01:00 +08:00
@eriale 我就猜到会有人翻出来这帖 ;)
cvrock
    14
cvrock  
   2014-10-30 17:05:02 +08:00   ❤️ 1
这种毫无道德底线的公司就该被告到死,相关人员全部追责。
tboy
    15
tboy  
   2014-10-30 17:12:52 +08:00
挖出sdk里的api 直接用好了
homever
    16
homever  
   2014-10-30 17:17:43 +08:00
来看看这次是如何危机公关的
herozzm
    17
herozzm  
   2014-10-30 17:17:49 +08:00
他们的短息好贵,9分/条,抢人啊
chilaoqi
    18
chilaoqi  
   2014-10-30 17:34:58 +08:00
"老牌密码明文存储先驱CSDN", 谢谢你让我笑了好久。
icedx
    19
icedx  
   2014-10-30 18:01:38 +08:00
大新闻!
miyuki
    20
miyuki  
   2014-10-30 18:05:08 +08:00 via Android
万火留
iyaozhen
    21
iyaozhen  
   2014-10-30 18:07:53 +08:00
卧槽,我一直在用聚合的api,还推荐SDK给客户端开发的同学。
66450146
    22
66450146  
   2014-10-30 18:13:08 +08:00
disPlayName 笑了。。。
welsmann
    23
welsmann  
   2014-10-30 18:14:57 +08:00
他们的API限制越来越严格,很多以前的额度都取消了,而且看架势是要强推SDK的。
passluo
    24
passluo  
   2014-10-30 18:18:56 +08:00
那个。说个无关的, @aveline 你抓包用的啥工具呀?
aveline
    25
aveline  
OP
   2014-10-30 18:22:11 +08:00   ❤️ 3
tmkook
    26
tmkook  
   2014-10-30 18:23:01 +08:00
扯淡群帮顶
homever
    27
homever  
   2014-10-30 18:25:05 +08:00
@chilaoqi 😁
dongbeta
    28
dongbeta  
   2014-10-30 18:26:33 +08:00
@aveline 我原以为只有360的SDK会这么做
ccbikai
    29
ccbikai  
   2014-10-30 18:35:01 +08:00
官网首页写着“ [09-24] 聚合数据SDK发布了,所有数据一次搞定!!!”
FrankFang128
    30
FrankFang128  
   2014-10-30 18:35:52 +08:00 via Android
@fdb713 哟 碰到你了。
usedname
    31
usedname  
   2014-10-30 18:47:28 +08:00 via Android
@dongbeta 360也就是带了个头
dongbeta
    32
dongbeta  
   2014-10-30 18:49:07 +08:00
@usedname 我们接入360的SDK的时候,都不敢用自己的手机测试。
silentyear
    33
silentyear  
   2014-10-30 18:54:55 +08:00 via Android
真是无耻!知道这个网站,有时候想,这网站还有人用?看来真有人用哈!
silentyear
    34
silentyear  
   2014-10-30 18:56:20 +08:00 via Android
你怎么解密的?
subpo
    35
subpo  
   2014-10-30 18:58:03 +08:00
说实话,现在初创企业有多少能做到不作恶的,现在这个年代,不沾满献血是爬不高的,小米也是360也是,都不容易啊~
20150517
    36
20150517  
   2014-10-30 19:10:17 +08:00
你们是怎么抓取的这数据
lazybios
    37
lazybios  
   2014-10-30 19:12:51 +08:00
冰山一角~ 看看各公司的运营制度 你就知道你那点隐私多么微不足道了 -.-
iptux
    38
iptux  
   2014-10-30 19:22:33 +08:00
@subpo
「通过干干净净的赚钱证明干干净净地赚钱是可能的;通过实现理想证明实现理想是可能的;通过改变世界证明改变世界是可能的;即使是在中国。」 ── 罗永浩(老罗)
LukeXuan
    39
LukeXuan  
   2014-10-30 19:26:50 +08:00 via Android
火前留名
wzxjohn
    40
wzxjohn  
   2014-10-30 19:34:48 +08:00 via iPhone
看来又要多屏蔽一个地址了。。。
wzxjohn
    41
wzxjohn  
   2014-10-30 19:40:17 +08:00 via iPhone
@showlife 不出来解释一下?
GeekGao
    42
GeekGao  
   2014-10-30 19:57:46 +08:00
这公司真过分了!
passluo
    43
passluo  
   2014-10-30 20:00:02 +08:00 via Android
谢谢~
xming
    44
xming  
   2014-10-30 20:13:07 +08:00
占个坑
sivacohan
    45
sivacohan  
   2014-10-30 20:19:36 +08:00 via Android
是什么触发了你想要抓包?还是习惯性?
aveline
    46
aveline  
OP
   2014-10-30 20:20:48 +08:00
@sivacohan 习惯性抓包 :-D
bitwing
    47
bitwing  
   2014-10-30 22:29:57 +08:00
lj0014
    48
lj0014  
   2014-10-30 23:00:34 +08:00
赞!加密了也难逃广大群众的法眼
iLiberty
    49
iLiberty  
   2014-10-30 23:27:58 +08:00
我是不是要说
前留名呢...
现在的公司也是够了 职业操守去哪里了!!!
01552799
    50
01552799  
   2014-10-30 23:37:05 +08:00
@eriale 挖的好!
faintcat
    51
faintcat  
   2014-10-31 00:34:42 +08:00   ❤️ 1
一家的公司的道德值和公司老板的道德值关系密切……
Viztor
    52
Viztor  
   2014-10-31 00:38:58 +08:00
习惯性抓包 (¬_¬)看来大家都需要这个习惯。。
tywtyw2002
    53
tywtyw2002  
   2014-10-31 02:23:27 +08:00
没事就要抓抓包,知道api了,我们找几台服务器把它刷爆吧。
Anylei
    54
Anylei  
   2014-10-31 02:47:09 +08:00
若事情为真,则是坑了集成该SDK的App的最终用户和开发者(的所在公司),作为**互联网数据服务提供者**这样“一网打尽”也算是牛逼到家了。
aku
    55
aku  
   2014-10-31 03:11:19 +08:00
11
    56
11  
   2014-10-31 03:34:34 +08:00
怎么解密的。。?
ashamp
    57
ashamp  
   2014-10-31 05:33:35 +08:00
太过分了!
konakona
    58
konakona  
   2014-10-31 06:21:41 +08:00
之前幫一個客戶使用聚合API開發了一些WEB端的東西,就感覺到聚合的技術真的不怎麽樣,bug一大堆,責任心也很弱。
就沒打算再繼續使用他們的產品,想不到行為這麽惡劣……
HunterPan
    59
HunterPan  
   2014-10-31 08:53:59 +08:00
在使用他们的基站数据 还好
LINAICAI
    60
LINAICAI  
   2014-10-31 09:22:58 +08:00
呵呵,看了api各种限制,还收钱,就没用了,没想到还做这么过分的事情,真的太不道德了,把安卓那套用到这里来。。。
对聚合真是没感
billsmt
    61
billsmt  
   2014-10-31 09:27:11 +08:00
@eriale 很好奇是怎么破解算法的?大牛
Numbcoder
    62
Numbcoder  
   2014-10-31 09:29:54 +08:00
iOS 如果不给通讯录权限,应该是无法获取把?
anyexxx
    63
anyexxx  
   2014-10-31 09:47:33 +08:00
简直就是恶劣。。谁用谁被坑的节奏呀。。
fangzhzh
    64
fangzhzh  
   2014-10-31 09:53:26 +08:00
精彩
fork3rt
    65
fork3rt  
   2014-10-31 09:55:23 +08:00
- -我去过他们公司|||
feilaoda
    66
feilaoda  
   2014-10-31 10:10:22 +08:00
这种直接http不加密,而且只传一个key进行标识APP的API,简直就是为开发者设定的地雷,随随便便就能把你的账单刷爆。

使用juhe的开发者小心了。
fangzhzh
    67
fangzhzh  
   2014-10-31 10:35:18 +08:00
感觉最多一天,就会有人来洗地。
比如中国创业公司都这样,干吗盯着他们;比如别人都是肮脏到,他们也是不得以;比如,已经改过了,干吗还盯着不放,给国内创业公司一条生路,版主删了吧之类的, lol
ClownQiang
    68
ClownQiang  
   2014-10-31 10:54:48 +08:00
火钳刘明
panlilu
    69
panlilu  
   2014-10-31 11:28:47 +08:00
看了一下聚合下面的“他们也在用聚合”,我觉得我的隐私已经没了- -。
unnya
    70
unnya  
   2014-10-31 11:43:48 +08:00   ❤️ 2

X


O
azuginnen
    71
azuginnen  
   2014-10-31 11:48:28 +08:00
woyao
    72
woyao  
   2014-10-31 11:56:59 +08:00
@aveline 求旧版SDK
momou
    74
momou  
   2014-10-31 12:18:56 +08:00
国产软件在我的手机里都是没有通信录读写权限的。。。
vigoss
    75
vigoss  
   2014-10-31 12:25:26 +08:00
@aveline 请问是怎么解密的
sanddudu
    76
sanddudu  
   2014-10-31 12:27:51 +08:00 via iPhone
@vigoss 我记得 Charles 付费版有抓 https 的功能
aveline
    77
aveline  
OP
   2014-10-31 12:29:23 +08:00
@sanddudu 虽然是付费版,不过 ... 他们接口是走 HTTP 的
aisk
    78
aisk  
   2014-10-31 12:33:36 +08:00
我说为何看到楼主的头像如此眼熟
cloudcache
    79
cloudcache  
   2014-10-31 12:34:48 +08:00
哈哈哈。。偷数据的贼!
sanddudu
    80
sanddudu  
   2014-10-31 12:44:55 +08:00 via iPhone
@aveline 我次奥,这也太过分了吧
sanddudu
    81
sanddudu  
   2014-10-31 12:45:33 +08:00 via iPhone
@aisk 凉宫春日
well
    82
well  
   2014-10-31 13:19:52 +08:00
这年代,窃取数据似乎都成行规了,一点道德底线都没有。什么世道。
guangwong
    83
guangwong  
   2014-10-31 13:37:20 +08:00
么么哒
tywtyw2002
    84
tywtyw2002  
   2014-10-31 13:42:07 +08:00
@sanddudu https 用mitmproxy就好了
chasion
    85
chasion  
   2014-10-31 14:04:57 +08:00
哈哈,见怪不怪了! 再说了,IOS系统 获取你联系人的时候,不是有弹窗提示么? 拒绝就好了!!!
jakwings
    86
jakwings  
   2014-10-31 14:22:35 +08:00
下次我也检查支付宝控件看看。
lepture
    87
lepture  
   2014-10-31 16:14:15 +08:00
@momou 所有的软件在我都不给通讯录权限。
momou
    88
momou  
   2014-10-31 16:21:26 +08:00
@lepture 那你用谷歌的软件就没有意义了。。。
chens
    89
chens  
   2014-10-31 22:31:50 +08:00
长叹一声。
NathanInMac
    90
NathanInMac  
   2014-11-01 00:19:50 +08:00
tm的好失望
w10489871
    91
w10489871  
   2014-11-03 16:06:01 +08:00
楼主有android老版的sdk吗~想看看~
lepture
    92
lepture  
   2014-11-03 17:12:07 +08:00
@momou 我不用 Android
WilliamSang
    93
WilliamSang  
   2016-08-11 00:15:17 +08:00
然而,已经估值 5 亿美金了
awhane
    94
awhane  
   2019-05-25 11:08:10 +08:00
卧槽,当时太着急了,没全部测试就买了,结果数据特么太特么不稳定了,数据还不准。
大周六的,工单没人回、QQ 没人回、电话没人接、邮箱没人回
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5418 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 08:06 · PVG 16:06 · LAX 00:06 · JFK 03:06
Developed with CodeLauncher
♥ Do have faith in what you're doing.