和脉脉斗志斗勇的一个晚上

2018-12-12 21:57:47 +08:00
 ericwyn

前言

脉脉作为一个职场交流的软件,在上面还是可以很快看到很多消息的(职言板块感觉有点类似于职场人的微博?,这个功能还是很赞的

但是脉脉出了名的恶心是对通讯录的盗取以及胡乱使用,为了不让自己的七大姑八大姨也收到什么“ xxx 把你标记为职场小能手的短信”,又能注册脉脉,于是折腾了大半个晚上

分析

首先,脉脉是会读取和上传通讯录的(读取和上传通讯录是不一样的),根据朋友的使用体验,发现应该是第一次注册的时候要求上传通讯录,此后不要求上传通讯录(但是可以手动更新通讯录),而至于读取通讯录的话就不知道了。会有这个结论是因为,当第一次成功注册并且上传通讯录之后,关闭掉对短信的读取权限,软件依然可以正常使用。

开始注册

起初希望使用 Google Voice 来进行注册,结果脉脉空有外国手机号输入,而却没有实际的给我的 voice 号码发送验证码....让人抓鸡

所以就只能使用自己的真实手机号注册了

但是注册了之后发现一定要读取通讯录并且上传,才能够注册成功。于是我拒绝了,开始了探索怎样才能解决这个问题,成功注册。

使用权限欺骗

Android 上面,使用权限欺骗是可以伪造权限的结果,返回给 App 的,但是要基于 Xposed 才可以,我的手机版本是 Android 9,没有 Xposed,所以没办法使用这个,( Xposed 的话似乎是使用 App Ops Xposed ) 就可以了

在没有通讯录的手机上面注册

刚好手边有一台刚刚刷好 AOSP 的测试机,于是装了个脉脉,准备注册,结果发现,如果你的通讯录完全是空白的话,他会认为你没有通讯录...软件上面显示的,和你没有启用通讯录权限时候,是一样的....

添加一个联系人

然后就添加联系人了,随便添加了一个联系人,重新注册,这个时候就提示联系人太少,无法注册

添加三个联系人

随便居然还是提示联系人太少,因为没法知道到底多少个联系人才会解除这个判定,于是决定导入一整批的虚假联系人

添加多个虚拟联系人

导出了手机里面的 vcf 格式之后,照着伪造了一份有 100 个虚假联系人的 vcf,再导入其中,用 js 写的一个小脚本,放到浏览器里跑一下就可以了

    let str = ""
    for (let i=100;i<199;i++){
        str += "BEGIN:VCARD\n"    
        str += "VERSION:3.0\n"
        str += "N;CHARSET=UTF-8:辣鸡脉脉"+i+"\n" 
        str += "FN;CHARSET=UTF-8:辣鸡脉脉"+i+"\n" 
        str += "TEL;TYPE=CELL:13500000"+i+"\n" 
        str += "END:VCARD\n"
    }
    console.log(str)

复制输出然后粘贴到一个文件,重命名为 .vcf 格式,传到手机里,导入通讯里,于是终于能够通过那一个对联系人的判断了

后续

进入软件之后,迎面而来的就是脉脉的老拉新活动,拉一个新用户给老用户发个 5 块钱红包...而具体的操作,自然也是让你选择向你通讯录当中的哪个好友发送“ xxx 把你标记为职场小能手”的消息了...实在是无力吐槽了

11907 次点击
所在节点    分享发现
75 条回复
ericwyn
2018-12-13 08:50:02 +08:00
@secondwtq 用自己的号码也应该还好,主要是通讯录的问题,只要想办法别上传自己正常的通讯录就可以了。另外阿里小号不是已经?没有了么?在号码实名制这么严格的今时今日???
ericwyn
2018-12-13 08:51:50 +08:00
@sharkrice 删除脉脉没有用,你的个人信息还是在这,在个人页面,选择帐号安全,选择注销账号,客服说这样会清空你的账号信息(应该包括联系人?对流氓公司的承诺存疑),不过此后就没法再用这个手机号注册了。
ericwyn
2018-12-13 08:53:27 +08:00
@trys1 另外更加讽刺的是,在尝试注销账号的时候,反馈页面的选项里面也有“不再给朋友发推送短信“这样的选项...他们自己也知道自己发那些垃圾短信有多让人讨厌
ericwyn
2018-12-13 08:54:08 +08:00
@twitch 我不太清楚是不是因为是 gv 的原因,或者其他地区正常的手机号可以收到?
ShuoHui
2018-12-13 08:57:39 +08:00
有没有人一起举报一波 App Store 的脉脉
twitch
2018-12-13 08:58:18 +08:00
@ericwyn 美国实体号和香港的号注册依旧收不到,就算你用+86 的注册后换绑到其他国外号码,还是收不到验证码,根本没反应
zn
2018-12-13 09:00:43 +08:00
用苹果,永无此类国产特色烦恼。

伪果粉前来免费报道。
hwding
2018-12-13 09:04:46 +08:00
2333,刚注册的时候看到要完善一堆信息我直接就联系客服帮我删除账号了,这真的算好的,就没见几家践行这个操作的.....
twitch
2018-12-13 09:10:59 +08:00
@ericwyn 而且你用网页端注册,用非+86 注册时输入号码会提示“请输入正确号码”,让你输入 11 位的香港或美国号,这奇葩的判定
MithrandirW
2018-12-13 09:13:40 +08:00
下了一次马上删了。现在还在推送短信。
ericwyn
2018-12-13 09:32:23 +08:00
@MithrandirW 重新登陆一下,注销账号试试~
ericwyn
2018-12-13 09:33:35 +08:00
@zn 按照 #10 的说法,ios 版本似乎也是不给权限不许用这样,心累
ericwyn
2018-12-13 09:34:34 +08:00
@hwding 确实,能够注销账号还行,但是也不知道这个注销账号到底有没有真的注销啊,另外的通讯录信息是否有清空啊
hwding
2018-12-13 09:35:15 +08:00
@ericwyn 没办法,没人监管。
yongzhong
2018-12-13 09:36:28 +08:00
辣鸡脉脉,卸载后没再用过
bypain
2018-12-13 09:39:29 +08:00
太 ji 儿恶心了,怎么还有那么多人在用
dong3580
2018-12-13 09:42:42 +08:00
我以为你要告脉脉侵犯隐私,如果这里有人打算告的话我可以加入。
国家部门不监管,个人信息泄露被这种软件恶意发垃圾短信。
trys1
2018-12-13 09:46:29 +08:00
希望可以让更多人看到这个帖子!

我强烈希望在网上可以看到联名抵制脉脉以及此类流氓的声音,并且越来越大

@secondwtq #10 说的讽刺,我真的是切身深有体会
ericwyn
2018-12-13 09:47:18 +08:00
@dong3580 因为自己并不会太多法学方面的知识啊(捂脸,其实如果真的要告的话,收集证据会不会比较麻烦呢话说
lockiee
2018-12-13 10:21:25 +08:00
@ericwyn 对啊,拒绝通讯录权限就用不了,然后卸载了,天天在微博上看脉脉。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/517046

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX