Cure53 的对某个 App 的审计报告,大家怎么看?

2019-10-13 17:11:26 +08:00
 austinchou0126

新闻标题: Chinese app on Xi’s ideology allows data access to 100 million users’ phones, report says

https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html

搜了一下,报告地址: https://cure53.de/analysis_report_sgn.pdf

数据收集、上报,基本上是国内 Android App 的正常操作,远程 Root 执行什么的,当看到

public static boolean isRoot() {} 
public static boolean isRooted() {}

的时候我笑了,这分明就是某个基类 SDK 里提供的一些常见判断函数,做移动端开发的同学应该会了解。

混淆的话,因为是淘宝的类库,所以估计也没有什么暗箱的操作。

总之啊,不要老想搞个大新闻...

4326 次点击
所在节点    程序员
19 条回复
austinchou0126
2019-10-13 17:14:08 +08:00
哈哈哈哈笑死我了。

https://twitter.com/mydream2025/status/1183276702257926148?s=20


> 在 app 逆向领域
所谓德国安全公司的技术水平
还不如给学习强国写外挂的那些人
dji38838c
2019-10-13 17:17:39 +08:00
国内的流氓 App 太多,大家都习惯了

老外没见过这样的,还以为就这个 App 是这样
chinvo
2019-10-13 17:19:38 +08:00
这毕竟是个钉钉

钉钉会有的流氓行为,这个自然也会有
iPhoneXI
2019-10-13 17:21:52 +08:00
好奇除了党员,还有被迫要装这玩意儿的吗
eason1874
2019-10-13 17:21:56 +08:00
接下来请看油管某些频道和某湾各种媒体的表演,他们肯定要大吹特吹
hkitdog
2019-10-13 17:22:04 +08:00
哪个国家是写挂大国? 中国在这方面觉对是走在世界最前,逆向工程水平是其他国家没法比的,像 app 加固,至今还没看到外国有哪家大厂做过类似产品
reus
2019-10-13 17:28:03 +08:00
所以楼主觉得有点光荣?
reus
2019-10-13 17:28:27 +08:00
久而不闻其臭?
liyuhang
2019-10-13 17:29:46 +08:00
我们这儿这就是这样,国外真是井底之蛙,没见过世面(逃
austinchou0126
2019-10-13 17:32:17 +08:00
@eason1874 推上已经开始吹爆了 简直是狂欢
yukiww233
2019-10-13 17:40:39 +08:00
外服游戏的越狱 /root 检测也很盛行啊。。不懂为啥 root 检测变成了 have “superuser” access to all the data on more than 100 million cellphones
CallMeReznov
2019-10-13 17:42:17 +08:00
想搞个大新闻罢了,非常迎合某些人的思想
austinchou0126
2019-10-13 17:56:09 +08:00
@yukiww233 没错,而且明明分析的 Android,配了 iOS 的图
jiang42
2019-10-13 18:07:52 +08:00
@austinchou0126 远程 Root 执行在报告里是 Evident 分类,不知道有啥好笑的,可以解释一下笑点吗?

BTW, 我不做移动开发,背景是 EDA, EE, VLSI simulation, Compiler, Formal Verification/Model checking。所以如果有这些领域之外的知识,把我当 6 岁小孩呗
yukiww233
2019-10-13 18:31:44 +08:00
@jiang42 #14
报告基本没问题,那些 General information,Connection information,Location 肯定是会拿的,但是关于 root 那一段有点扯。在未 root 机器上执行 su 没有任何意义,在 root 机器上执行 su 也会弹出安装的 su manager 申请权限窗。isRoot 执行以下 su 和 su 路径搜索都只是判断是否 root 的常用手段,可以在许多 sdk 的 util 里找到。

收集信息是肯定收集的,不过外媒的"have “superuser” access to all the data on more than 100 million cellphones"也太搞笑了,9102 年了找个能提权的 0day 还不如在国产 rom 里开个后门容易多了
zzNucker
2019-10-13 18:51:17 +08:00
搞个大新闻,在国外媒体转一圈,可信度就提高 12.04 倍
juded
2019-10-13 19:16:12 +08:00
有些外媒的客观程度与职业道德不比环球之流高多少,尤其是纽时华尔街这种传统就偏左 /右的。上次彭博社那个虎头蛇尾的超微主板间谍门报道已经彻底太监了。
不过外媒的宣(xi)传(nao)手法还是够国内好好学一学的。
Jirajine
2019-10-13 19:44:44 +08:00
国内再正常不过的数据收集上报居然被外面当成了“恶意行为”,国内移动端开发同学看来很自豪嘛?
国外 app 环境监测基本都是 safety net,看没见过的 root 检查见风就是雨确实闹了个乌龙。
至于那些 SDK,类库到底都是些什么💩东西自己心里没点 b 数吗?
hyfc
2019-10-14 11:15:18 +08:00
我们这儿就 zhei 样儿,不爱用用🇺🇸人的学习强国去

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/608880

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX