TikTok 通过 schemes 嗅探设备已安装应用

2020-06-30 14:17:26 +08:00
 Suclogger

来源:谷歌安全研究员 Ivn (@ivRodriguezCA) / Twitter

TikTok snooping on users' pasteboard, so I had to take a look.

Their main app's [YYTextView _initTextView] method:

...

haha TikTok can handle all the URL schemes in the world. LSApplicationQueriesSchemes:

参与讨论的tbodt表示:

it doesn't handle these schemes, it asks the system if something handles these schemes, so it can detect whether any of these apps are installed

[谷歌翻译] 它不处理这些方案,而是询问系统是否有东西可以处理这些方案,因此它可以检测是否安装了这些应用程序

3274 次点击
所在节点    全球工单系统
14 条回复
Jirajine
2020-06-30 14:22:57 +08:00
用这么麻烦?获取已安装应用又不需要权限。
Suclogger
2020-06-30 14:23:57 +08:00
@Jirajine #1 iOS 下有沙盒限制,无法直接获取
est
2020-06-30 14:30:14 +08:00
国内 app 常规操作。一家推送全桶唤醒。。
qyd0801
2020-06-30 15:09:41 +08:00
@est #3 ios
w99w
2020-06-30 15:22:16 +08:00
这个 schemes 列表是 APP 被查询时用到的。
icyalala
2020-06-30 17:32:00 +08:00
YYTextView 是个开源库,
Scheme 列表除了判断是否安装以外,如果你需要接入诸如 QQ 微信微博登录也是要写上的。
我看不出这些有什么问题。。
mcluyu
2020-06-30 17:56:17 +08:00
这不是常规操作么,这也没多少啊,大多数都是为了分享到目标 APP,要想石锤,好歹也逆向一下,找到循环调用测试是否安装该 APP 的代码才有说服力吧。
dorentus
2020-06-30 18:01:58 +08:00
ivRodriguezCA 真的是谷歌安全研究员?
连 LSApplicationQueriesSchemes 是做什么的都不知道……
YYTextView 没听过倒是还正常,但是随便 Google 搜索一下都不会……
Telegram
2020-06-30 18:40:56 +08:00
@dorentus #8 就是,打脸打的啪啪啪,
3 楼也是,看到国产 APP 被怀疑就开喷、、、
Telegram
2020-06-30 18:48:54 +08:00
hoyixi
2020-06-30 18:50:58 +08:00
无所谓,反正这是一款中国人禁止入内的 App
akira
2020-06-30 18:56:56 +08:00
所以 结论是什么?
Telegram
2020-06-30 21:45:07 +08:00
@akira #12 结论是苹果 ios9 以后规定,你的 app 需要调起其他 app,比如分享到朋友圈或者分享到微博,需要提前把对方的 schemes 写在你的 info.plist 里,可以理解为白名单,这个列表最大是 50 个。
这个地摊安全员,一看就是不写 ios 的,只会解个包,看看资源文件,就想搞个大新闻。
Battle
2020-08-01 12:21:19 +08:00
@est 不懂的东西,可以不用评论的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/685919

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX