TikTok 通过 schemes 嗅探设备已安装应用

2020-06-30 14:17:26 +08:00

Suclogger

来源：谷歌安全研究员 Ivn (@ivRodriguezCA) / Twitter

TikTok snooping on users' pasteboard, so I had to take a look.

Their main app's [YYTextView _initTextView] method:

...

haha TikTok can handle all the URL schemes in the world. LSApplicationQueriesSchemes:

参与讨论的tbodt表示：

it doesn't handle these schemes, it asks the system if something handles these schemes, so it can detect whether any of these apps are installed

[谷歌翻译] 它不处理这些方案，而是询问系统是否有东西可以处理这些方案，因此它可以检测是否安装了这些应用程序

3242 次点击

所在节点

全球工单系统

14 条回复

Jirajine

2020-06-30 14:22:57 +08:00

用这么麻烦？获取已安装应用又不需要权限。

Suclogger

2020-06-30 14:23:57 +08:00

@Jirajine #1 iOS 下有沙盒限制，无法直接获取

est

2020-06-30 14:30:14 +08:00

国内 app 常规操作。一家推送全桶唤醒。。

qyd0801

2020-06-30 15:09:41 +08:00

@est #3 ios

w99w

2020-06-30 15:22:16 +08:00

这个 schemes 列表是 APP 被查询时用到的。

icyalala

2020-06-30 17:32:00 +08:00

YYTextView 是个开源库，
Scheme 列表除了判断是否安装以外，如果你需要接入诸如 QQ 微信微博登录也是要写上的。
我看不出这些有什么问题。。

mcluyu

2020-06-30 17:56:17 +08:00

这不是常规操作么，这也没多少啊，大多数都是为了分享到目标 APP，要想石锤，好歹也逆向一下，找到循环调用测试是否安装该 APP 的代码才有说服力吧。

dorentus

2020-06-30 18:01:58 +08:00

ivRodriguezCA 真的是谷歌安全研究员？
连 LSApplicationQueriesSchemes 是做什么的都不知道……
YYTextView 没听过倒是还正常，但是随便 Google 搜索一下都不会……

2020-06-30 18:40:56 +08:00

@dorentus #8 就是，打脸打的啪啪啪，
3 楼也是，看到国产 APP 被怀疑就开喷、、、

2020-06-30 18:48:54 +08:00

https://developer.apple.com/documentation/uikit/uiapplication/1622952-canopenurl

hoyixi

2020-06-30 18:50:58 +08:00

无所谓，反正这是一款中国人禁止入内的 App

akira

2020-06-30 18:56:56 +08:00

所以结论是什么？

2020-06-30 21:45:07 +08:00

@akira #12 结论是苹果 ios9 以后规定，你的 app 需要调起其他 app，比如分享到朋友圈或者分享到微博，需要提前把对方的 schemes 写在你的 info.plist 里，可以理解为白名单，这个列表最大是 50 个。
这个地摊安全员，一看就是不写 ios 的，只会解个包，看看资源文件，就想搞个大新闻。

Battle

2020-08-01 12:21:19 +08:00

@est 不懂的东西，可以不用评论的

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/685919

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.