支付宝被发现会悄悄偷拍 (via Solidot)

2016-02-23 12:01:16 +08:00
 IgniteWhite
国产移动应用的权限需求和后台活动再次引发了关注,这一次又是支付宝。支付宝是最流行的中国移动应用之一,安装量有数亿之多,它的体积庞大功能庞杂,用户根本无法了解它在后台究竟会干什么。 Twitter 用户 typcn 报告称,“支付宝安卓版每隔 X 分钟(服务器指定)会在后台开启摄像头拍照,录音 X 秒,然后上传到服务器上。”作者进一步指出,支付宝的偷拍是“开启相机预览,设置相机预览回调,然后从相机预览的画面里面拿一帧,这样不会调用 takePhoto ,在部分强制开启拍照声音的手机上,也不会出现声音,因为是在预览缓冲中拿的图像。”知乎上有相关讨论,尚未看到支付宝官方的回应。
22746 次点击
所在节点    互联网
124 条回复
airyland
2016-02-23 12:20:47 +08:00
记得这里有相关帖子
SpicyCat
2016-02-23 12:31:45 +08:00
有知乎链接么
napsterwu
2016-02-23 12:32:43 +08:00
IgniteWhite
2016-02-23 12:36:59 +08:00
lovewilliam
2016-02-23 12:47:53 +08:00
国产软件就是牛。
Delbert
2016-02-23 12:50:33 +08:00
不用 twitter ,就是 @typcn
GPU
2016-02-23 13:15:01 +08:00
我记得 typcn 还刚刚够 18 岁什么的。
GPU
2016-02-23 13:25:01 +08:00
与 Andy1999 是基友好像 。 C++ 论坛好像是他写的
robinlovemaggie
2016-02-23 13:28:10 +08:00
贵支。。。。
typcn
2016-02-23 13:37:13 +08:00
当时抓到的那个图中支付宝设置了 previewCallback 通过预览来偷拍。
但是现在支付宝不再设置 previewCallback 了,只是 startPreview ,大概就是打开相机预览,什么都不干,然后再关闭,你也不知道他具体在干什么。
(不确定 startRecording 录音是否还在继续,昨天晚上测试的录音还是会的)


支付宝有 大概 1/4 的代码都是动态加载的 ,支付宝 libs 里面的 so 文件,其实根本不是动态库,就是一个一个完整的 APK ,有的 so 还是从他的服务器上远程加载的,但其实那些 so 文件,全部都是 apk ,有着完整的 apk 结构, drawable , dex 都有,这些 apk 动态插入到主程序里面执行。

这种高动态的程序,证据抓到的可能性已经趋近于 0 了

之前支付宝有一个版本,没走应用市场,是应用内推送更新的,半夜玩手机的时候,突然听到咔嚓一声,打开支付宝,也是咔嚓一声,群里也有人讨论了这个问题,当时还有人给支付宝客服打了电话,次日的支付宝就发布了新版,走了应用市场,更新掉了这个版本。我想这里也可能有人遇到过。

他急急忙忙更新掉这个版本,而不是热修补,说明这个版本中拍照的代码是直接内置在了程序里的,而且拍照有声音肯定是用了 takePicture() ,要是有这个版本的话,反编译就可以直接抓到作恶的铁证。

但是我找了很长时间没有找到这个版本,因为当时的截图丢了,也不知道具体的小版本号,一个一个翻了很长时间也没有找到。。我也没有那么长时间一直在这肛支付宝。。。。。

这事大概就只能这样了。。

我只能做到告诉大家这是一个什么样的软件,我也没有办法找到证据,信不信就由你自己看了吧。。。。

大家写每一个项目的时候,一定要记住:最好的防止泄漏用户隐私的方法,就是不要收集
doublleft
2016-02-23 13:42:47 +08:00
我记得有一款手机的摄像头是可伸缩的,使用时会展开。

然后好多用户反馈自己的摄像头总是自己一伸一缩,以为出故障了。
结果大家讨论,发现很有可能是什么应用用摄像头…
clino
2016-02-23 13:45:31 +08:00
@typcn 3Q 大战时候的那些武器在 android 上重现了
typcn
2016-02-23 13:46:43 +08:00
dong3580
2016-02-23 13:47:11 +08:00
@typcn
我手机上有几个谷歌商店备份的版本,你要不要玩玩?
typcn
2016-02-23 13:47:50 +08:00
typcn
2016-02-23 13:49:02 +08:00
@dong3580 那个版本没有通过任何市场更新,国内市场也没有。。。是应用内的推送更新
dong3580
2016-02-23 13:50:47 +08:00
@typcn
那就没了,应用内推的我都直接拒绝,去年 8-11 月貌似推送的比较严重,我记得还自动下 tb 客户端,
doublleft
2016-02-23 13:50:48 +08:00
@typcn 哈哈哈哈哈哈哈哈
Mutoo
2016-02-23 13:51:20 +08:00
@doublleft 画面感好强 lol
dong3580
2016-02-23 13:52:30 +08:00
@typcn
发动 v2 的强迫症备份童鞋肯定可以找到的,我目前有这些版本,都是比较新的,早期有很多备份删了:
8.6.0.040305
9.1.0.091801
9.2.0.101408
9.5.1.011302

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/258429

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX