typcn
2016-02-23 13:37:13 +08:00
当时抓到的那个图中支付宝设置了 previewCallback 通过预览来偷拍。
但是现在支付宝不再设置 previewCallback 了,只是 startPreview ,大概就是打开相机预览,什么都不干,然后再关闭,你也不知道他具体在干什么。
(不确定 startRecording 录音是否还在继续,昨天晚上测试的录音还是会的)
支付宝有 大概 1/4 的代码都是动态加载的 ,支付宝 libs 里面的 so 文件,其实根本不是动态库,就是一个一个完整的 APK ,有的 so 还是从他的服务器上远程加载的,但其实那些 so 文件,全部都是 apk ,有着完整的 apk 结构, drawable , dex 都有,这些 apk 动态插入到主程序里面执行。
这种高动态的程序,证据抓到的可能性已经趋近于 0 了
之前支付宝有一个版本,没走应用市场,是应用内推送更新的,半夜玩手机的时候,突然听到咔嚓一声,打开支付宝,也是咔嚓一声,群里也有人讨论了这个问题,当时还有人给支付宝客服打了电话,次日的支付宝就发布了新版,走了应用市场,更新掉了这个版本。我想这里也可能有人遇到过。
他急急忙忙更新掉这个版本,而不是热修补,说明这个版本中拍照的代码是直接内置在了程序里的,而且拍照有声音肯定是用了 takePicture() ,要是有这个版本的话,反编译就可以直接抓到作恶的铁证。
但是我找了很长时间没有找到这个版本,因为当时的截图丢了,也不知道具体的小版本号,一个一个翻了很长时间也没有找到。。我也没有那么长时间一直在这肛支付宝。。。。。
这事大概就只能这样了。。
我只能做到告诉大家这是一个什么样的软件,我也没有办法找到证据,信不信就由你自己看了吧。。。。
大家写每一个项目的时候,一定要记住:最好的防止泄漏用户隐私的方法,就是不要收集