和脉脉斗志斗勇的一个晚上

2018-12-12 21:57:47 +08:00
 ericwyn

前言

脉脉作为一个职场交流的软件,在上面还是可以很快看到很多消息的(职言板块感觉有点类似于职场人的微博?,这个功能还是很赞的

但是脉脉出了名的恶心是对通讯录的盗取以及胡乱使用,为了不让自己的七大姑八大姨也收到什么“ xxx 把你标记为职场小能手的短信”,又能注册脉脉,于是折腾了大半个晚上

分析

首先,脉脉是会读取和上传通讯录的(读取和上传通讯录是不一样的),根据朋友的使用体验,发现应该是第一次注册的时候要求上传通讯录,此后不要求上传通讯录(但是可以手动更新通讯录),而至于读取通讯录的话就不知道了。会有这个结论是因为,当第一次成功注册并且上传通讯录之后,关闭掉对短信的读取权限,软件依然可以正常使用。

开始注册

起初希望使用 Google Voice 来进行注册,结果脉脉空有外国手机号输入,而却没有实际的给我的 voice 号码发送验证码....让人抓鸡

所以就只能使用自己的真实手机号注册了

但是注册了之后发现一定要读取通讯录并且上传,才能够注册成功。于是我拒绝了,开始了探索怎样才能解决这个问题,成功注册。

使用权限欺骗

Android 上面,使用权限欺骗是可以伪造权限的结果,返回给 App 的,但是要基于 Xposed 才可以,我的手机版本是 Android 9,没有 Xposed,所以没办法使用这个,( Xposed 的话似乎是使用 App Ops Xposed ) 就可以了

在没有通讯录的手机上面注册

刚好手边有一台刚刚刷好 AOSP 的测试机,于是装了个脉脉,准备注册,结果发现,如果你的通讯录完全是空白的话,他会认为你没有通讯录...软件上面显示的,和你没有启用通讯录权限时候,是一样的....

添加一个联系人

然后就添加联系人了,随便添加了一个联系人,重新注册,这个时候就提示联系人太少,无法注册

添加三个联系人

随便居然还是提示联系人太少,因为没法知道到底多少个联系人才会解除这个判定,于是决定导入一整批的虚假联系人

添加多个虚拟联系人

导出了手机里面的 vcf 格式之后,照着伪造了一份有 100 个虚假联系人的 vcf,再导入其中,用 js 写的一个小脚本,放到浏览器里跑一下就可以了

    let str = ""
    for (let i=100;i<199;i++){
        str += "BEGIN:VCARD\n"    
        str += "VERSION:3.0\n"
        str += "N;CHARSET=UTF-8:辣鸡脉脉"+i+"\n" 
        str += "FN;CHARSET=UTF-8:辣鸡脉脉"+i+"\n" 
        str += "TEL;TYPE=CELL:13500000"+i+"\n" 
        str += "END:VCARD\n"
    }
    console.log(str)

复制输出然后粘贴到一个文件,重命名为 .vcf 格式,传到手机里,导入通讯里,于是终于能够通过那一个对联系人的判断了

后续

进入软件之后,迎面而来的就是脉脉的老拉新活动,拉一个新用户给老用户发个 5 块钱红包...而具体的操作,自然也是让你选择向你通讯录当中的哪个好友发送“ xxx 把你标记为职场小能手”的消息了...实在是无力吐槽了

11945 次点击
所在节点    分享发现
75 条回复
iX
2018-12-12 22:08:41 +08:00
然而还是要用脉脉,真香。狗头.jpg
qq292382270
2018-12-12 22:19:37 +08:00
为你的辛勤劳动点赞 . 但是这种程序实在是让人无力吐槽
chenjian026
2018-12-12 22:29:11 +08:00
最喜欢看类帖子了,点赞
echo1937
2018-12-12 22:44:14 +08:00
还是换个 iPhone 吧
EugeneYWang
2018-12-12 23:14:22 +08:00
说得好,我选择用 LinkedIn
kakudesu
2018-12-12 23:26:52 +08:00
这。。。有点恶心,坚决不用
orangeade
2018-12-12 23:55:54 +08:00
我选择不用,而且脉脉帖子谷歌就能搜到,没必要装 app
hlwjia
2018-12-13 01:09:42 +08:00
支持!
huclengyue
2018-12-13 01:13:36 +08:00
为什么不用 appops
secondwtq
2018-12-13 01:26:30 +08:00
@echo1937 脉脉把从软件业的 EULA 一路传承下来的传统发扬到了极致,直接要权限不给通讯录就不能用,iOS 根本没有区别,反而由于 iOS 本身不是可编程的,不配称为“智能”手机的操作系统,伪造通讯录更麻烦

因为我联系人都在 Google 帐号里面,所以直接把 Google 帐号绑定删掉清联系人,然后照楼主的方法重新搞了一份 vcf,iOS 不能直接导入还得稍微 workaround 一下

然而最讽刺的是,我以不想卖朋友的信息为动机,折腾了半天,并没有办法避免通讯录里面有我的同事 /同学把我卖掉 ...

所以楼主最好搞个阿里小号之类的试一发?
squid157
2018-12-13 03:14:44 +08:00
@secondwtq iOS 上也这样?这样就违反 App Store Review Guidelines 的 5.1.1 (iv) 部分了,应该和 Apple 举报一波。
mario85
2018-12-13 03:42:09 +08:00
哪用那么麻烦。
找人借一台 iPhone(至于哪里借比较好你懂的),准备好阿里小号之类的。
手机洗干净,装上某数字或者企鹅家的通话管理 app,导入骚扰电话数据库。然后用准备好的小号注册脉脉。
美滋滋。
echo1937
2018-12-13 08:11:16 +08:00
@secondwtq #10 对啊,我也记得这种措施是违反苹果协议的,就像 @squid157 #11 说的那样。
leobuf
2018-12-13 08:17:02 +08:00
垃圾脉脉
putaozhenhaochi
2018-12-13 08:24:50 +08:00
之前收到过好几次这样的脉脉短信。 妈的。打死也不敢用这样的软件
trys1
2018-12-13 08:32:04 +08:00
我强烈希望在网上可以看到联名抵制脉脉以及此类流氓的声音,并且越来越大

@secondwtq #10 说的讽刺,我真的是切身深有体会
LeungV2
2018-12-13 08:32:15 +08:00
学到了
trys1
2018-12-13 08:33:33 +08:00
“然而最讽刺的是,我以不想卖朋友的信息为动机,折腾了半天,并没有办法避免通讯录里面有我的同事 /同学把我卖掉 ...”
简直咬牙切齿!
sharkrice
2018-12-13 08:33:41 +08:00
看完我把脉脉删除了
twitch
2018-12-13 08:46:40 +08:00
何止 gv 收不到验证码,除了+86 的其他的号都无法接收,既然不能接受我好奇他出这个功能干嘛

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/517046

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX