微信最新版本 6.5.16 后台偷跑流量&抓包分析;请鹅企有关部门解释一下原因

2017-11-08 10:15:27 +08:00
 wuyuanyi135
今年 9 月我换了加拿大 Fido 合约的 Galaxy S8,发现微信的流量一直不正确: 后台流量非常高,并且和微信自己记录下来的流量完全不吻合




平均每一天微信在后台流量会跑 60-100M。多次反馈无果后只好关闭了微信的后台数据访问。于是乎,流量不跑了,消息也收不到了。可悲的企鹅没有用 GCM。

前两天坐巴士的时候没有 WIFI,于是用 Google Play 上的 Packet Capture 抓下了所有包,不一会就看到了一个微信的 18MB 的后台包。


包的 pcap 已经导出,我最近有空会去分析微信下载那么大东西的企图。由于可能涉及个人信息 pcap 包就不分享了。如果微信开发有需要请联系我。
==========================下面是简要的请求信息===========================
POST 203.205.150.89/downloadstorage
body 含有字段:weixinnum; seq; clientversion; clientostype(操作系统); authkey; nettype; acceptdupack; safeproto; filetype; fileid; lastip; lastretcode; ipseq; wxmsgflag; wxautostart; rangestart; rangeend
猜测: 该操作向服务器请求下载一些 bulk 文件 比如版本更新 图片库等。客户端通过改变 fileid,range 向服务器分片请求了这些内容。每个包请求 64K 的数据。 请求返回的内容是加密或二进制包我暂时没有仔细解析以了解它的意图。


可悲的是,暂时我也没有什么能做的。我的手机没有 root,没法改 hosts 之类的把跑流量的请求给 ban 掉。不知道装低版本微信会不会有用。
希望有类似经历的人来分享一下解决方案或者请企鹅官方重视一下这个问题,我相信你们应该不是在 DDOS 自己。
15520 次点击
所在节点    全球工单系统
77 条回复
wuyuanyi135
2017-11-08 10:44:15 +08:00
@alex321 多谢解答。这种小程序是依托本地运行而不是一个常规的 web app ?在不访问的情况下也有必要更新吗?
alex321
2017-11-08 10:51:52 +08:00
@wuyuanyi135 按照张小龙的说法是用完即走,按说更新推送是小程序打开操作时进行更新。实际按照我这边看到的小程序能力和发布的几个版本的情况来看,以及微信公众号菜单功能推送机制,这个应该也可能是存在后台更新的。其实除了小程序之外,内置的钱包功能中的第三方服务也属于同样性质。

热更新问题同样还体现在之前微众银行的那个迷之数据包。
wuyuanyi135
2017-11-08 10:54:14 +08:00
@alex321 多谢解答!
icedx
2017-11-08 11:03:07 +08:00
反复热更新吧...
装个 Xposed 可以解决
(只是装个 Xposed 不用什么插件 微信探测到 Xposed 后会关闭热更新
wuyuanyi135
2017-11-08 11:05:28 +08:00
@icedx 哈哈做贼心虚。可惜我还不想 root :( 而且 Android 7 应该还没有 Exposed Framework 吧?
linxy
2017-11-08 11:11:29 +08:00
@wuyuanyi135 有了 比较完美的能跑了
binjoo
2017-11-08 11:17:46 +08:00
LZ,paly 里的也不是走的 GCM 吗?
icedx
2017-11-08 11:21:49 +08:00
@wuyuanyi135 #25
有的有的
不是做贼心虚
是 Tinker 不兼容 Xposed
wuyuanyi135
2017-11-08 11:24:37 +08:00
@binjoo 啊不好意思我不清楚,但是它明显比其他 GCM 的应用慢得多,而且经常在后台呆久了就显示无法连接服务器,切回来收到一大堆的消息。 在抓包来看,它也频繁发送心跳(猜测),所以我不确定它是否用了 GCM。
wuyuanyi135
2017-11-08 11:24:53 +08:00
@icedx 我去了解一下,谢谢!
wuyuanyi135
2017-11-08 11:25:11 +08:00
@linxy 好我去找找看,非常感谢~
ty89
2017-11-08 11:38:46 +08:00
应该是热更新吧,现在手机屏幕越来越大,对应的图片资源也越来越大
wuyuanyi135
2017-11-08 11:39:59 +08:00
@ty89 好多人都说到热更新,这个在数据网络下进行时预期之中的吗
limard
2017-11-08 11:50:03 +08:00
同版本,p 下的,暂时没发现这个问题
wuyuanyi135
2017-11-08 11:54:07 +08:00
@limard 我重装试试
ltux
2017-11-08 12:03:16 +08:00
你都说是后台了,还叫“偷”跑,这让人很为难啊!

楼上一堆瞎猜的,瞎猜有什么用呦。楼主只说自己抓了个包,又不给我们包内容,那就请你自己分析好了再来扯。远程凭空 debug 是不可能完成的任务。
est
2017-11-08 12:11:23 +08:00
@dong3580 想按照 ip 进行屏蔽。发现还得付费。。蛋痛哟。。
php01
2017-11-08 12:18:38 +08:00
用 telegram 吧,都干这行的,你还能信啥
wuyuanyi135
2017-11-08 12:40:09 +08:00
@ltux 你好,不提供包是因为里面有 authkey 之类的个人信息,我不确定这些信息泄露会不会对我有影响,如果你有兴趣我可以分享给你抓到的包。
wuyuanyi135
2017-11-08 12:40:53 +08:00
@php01 能用的替代软件很多。但是用什么软件更多的其实取决于别人。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/404522

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX