小米手表 APP 端劫持 ios 剪贴板,有没有遇到的?

2022-03-11 11:01:13 +08:00
 mskip

小米手表 ios 端的米兔 app ,只要在定位界面点击定位,成功后就会被写入一个抖音活动的助力码,每天只有第一次会出现这个情况,今天抓包看了一下,只有两个官方 api 返回的加密结果有点可疑,别的都是明文请求,或者藏在某个 JS 代码里面?

刚刚收到了小米安全中心的回复,只是正常广告且不属于小米开发的,这算广告真的是新奇

1223 次点击
所在节点    问与答
5 条回复
0TSH60F7J2rVkg8t
2022-03-11 11:16:42 +08:00
没有装这个 app ,但是有点奇怪,如果是小米手表 app 写入的口令,打开抖音的时候,应该提示粘贴自:小米手表。但是截图里不是这样的。

虽然不知道为什么会这样,但是可以给楼主一个建议,就是打开和关闭小米手表 App 的时候,使用自动化功能,清空剪贴板。方法是新建自动化,选择打开小米手表 App 应用(或者打开抖音也行),动作里,添加一个“无”,再添加一个“写入剪贴板”的命令,即可。
mskip
2022-03-11 11:20:50 +08:00
@ahhui 不是的,应该都是读系统剪贴板中转的,其他 app 只管读剪贴板
Xusually
2022-03-11 11:27:28 +08:00
额。。。真的。
复现成功。定位后我随便开了浏览器在地址栏粘贴结果如图:
mskip
2022-03-11 11:38:26 +08:00
@Xusually 我试过四天,3 天都是抖音的助力,其中一个抖音没识别
mskip
2022-03-12 14:18:00 +08:00
这么大一个公司劫持剪贴板来搞个人助力?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/839619

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX