前不久刚入职一家小公司,办公室是租的那种,有个大楼的 app 可以打开各楼层的玻璃门和办公室的门( app 展示一个二维码让门旁边的摄像头扫描,还有些其他功能)。但是这个 app,我的安卓 10 打开就闪退,我没法用,所以财务姐姐给我我一张 nfc 的门禁卡代替。
端午放假的时候我掏出旧手机,安装了那个 app,想抓包看看能不能自己抓取二维码显示在不能用的那个手机上。
一抓就发现这个 app 其实是个经典浏览器套壳 app,我就直接打开展示门禁二维码那个页面看他获取二维码的过程。
我很惊讶地发现他获取二维码只提交了加密的 uid 和加密用的 key,而刚注册的我,uid 才排到 300 多,说明用户人数不是特别多。
我又看了个人信息的代码,也是用 uid 请求获取的,也就是说我凭 uid 就能获取个人信息,其中包含手机号和身份证号。
~~我试着用我的 uid-1 的 uid,能获取到别人信息~~
这个 app 请求的 api 用的域名是"ofstudio.com 果壳设计"的。我估计他们看不到这个工单,所以主要是想问问这种情况怎么处理,是找大楼物业么?这个 app 应该是属于外包,如果物业解决不了我怎么办?我不想别人也发现这个问题然后获取我的信息。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.