V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jdjd
V2EX  ›  iOS

问一下熊猫吃短信安全吗

  •  
  •   jdjd · 2018-05-09 18:54:20 +08:00 via iPhone · 19493 次点击
    这是一个创建于 2427 天前的主题,其中的信息可能已经有所发展或是发生改变。
    开通短信拦截时,iOS 告诉要上传短信到服务器
    可是熊猫吃短信说不用上传
    这是真的吗,App 可不可以偷偷上传呢
    感觉要上传短信的拦截服务,不用也罢
    其实 iOS 搞个自定义关键字拦截不就行了嘛,居然还有人意淫苹果越来越重视中国用户,添加了短信拦截功能
    第 1 条附言  ·  2018-05-10 11:52:44 +08:00
    顺便说一下
    我只是基于不愿意把我的短信传到第三方服务器的想法,来问一下问题
    从升级 iOS11 后,看到苹果提示要上传短信到第三方服务器,我就没有用过短信拦截功能
    我问这个不是要针对某个 App,或者是要暗指某个 App 不安全
    问熊猫吃短信也是因为看见论坛有不少网友谈到熊猫吃短信,然后在 App Store 看了看
    第 2 条附言  ·  2018-05-11 18:07:28 +08:00
    48 楼有熊猫吃短信作者 @waylybaye 的回复
    感兴趣的朋友可以直接看 48 楼
    抱歉,也许我的标题写的不大妥,应该是问熊猫吃短信到底会不会上传短信到服务器
    50 条回复    2023-09-28 17:04:17 +08:00
    1002xin
        1
    1002xin  
       2018-05-09 19:07:52 +08:00
    不安全,智能手机更不安全,还是用功能机吧
    Milonga
        2
    Milonga  
       2018-05-09 19:18:18 +08:00
    会上传
    不在意
    我的短信还没有值钱到那个地步
    只要控制不了我的手机 任何验证码泄露都无法影响
    yushiro
        3
    yushiro  
       2018-05-09 19:19:55 +08:00 via iPhone
    @Milonga 能拦截银行的短信验证码就够了,再通过黑产+社会工程学,偷你银行的钱太容易了
    SourceMan
        4
    SourceMan  
       2018-05-09 19:25:40 +08:00 via iPhone
    熊猫吃短信作者牛逼,本地特征库+算法搞定,所有不用传入服务器判定
    其他一般都是由服务器判定

    当然,没人会看你的短信,要你的短信,黑你的账号的
    jdjd
        5
    jdjd  
    OP
       2018-05-09 19:29:25 +08:00 via iPhone
    @yushiro 直接拦截支 /付 /宝什么的更容易偷 钱
    而且还有聊天记 录什么的,也可以分析分析进行偷 钱,短 信和谁谈到了涉及钱之类的话题,然后可以接着往下说。比如谈到有需要用钱的地方尽管开口,被上传服务器分析,之后就来条短 信说需要用钱了,打 钱到...

    @1002xin 对,屌丝不需要隐 私
    Wildstar
        6
    Wildstar  
       2018-05-09 19:36:32 +08:00 via iPhone   ❤️ 1
    把 app 的网络权限关了不就行了
    jdjd
        7
    jdjd  
    OP
       2018-05-09 19:58:20 +08:00 via iPhone
    @Wildstar 好像关了就不能用了吧
    App 总要下载数据库
    ech0x
        8
    ech0x  
       2018-05-09 20:16:48 +08:00 via iPhone
    @jdjd 不会,iOS 的限制了在线更新模型,熊猫的模型是通过软件更新的方法更新的。
    熊猫的联网功能是为了“准确性测试”存在的,如果有担忧的话直接关闭联网功能就行,并不会影响使用。
    Liir
        9
    Liir  
       2018-05-09 20:26:04 +08:00
    熊猫的问题是经常错乱,把本不应该过滤的短信给过滤了,粘贴到 APP 里一看还显示是正常短信。反之亦然。
    so898
        10
    so898  
       2018-05-09 20:37:20 +08:00
    iOS 11 允许软件上传短信内容到服务器,但仅且仅为本地软件判定之后觉得无法判断是否是垃圾的短信内容
    熊猫吃短信有没有这么做不知道
    honeycomb
        11
    honeycomb  
       2018-05-09 20:56:18 +08:00 via Android
    @jdjd 安全的,具体看 v2 以前的帖子和作者自己的新浪微博
    ivmm
        12
    ivmm  
       2018-05-09 21:12:49 +08:00
    @Liir 同遇到+1
    abirdcanfly
        13
    abirdcanfly  
       2018-05-10 00:07:21 +08:00 via iPhone
    一直关着联网权限在用
    bao3
        14
    bao3  
       2018-05-10 00:51:48 +08:00 via iPhone
    如果楼主你担心安全,那就用离线的 SMS Filter+ by yicai yang 这个是要你自己定义过滤,我两个 app 都试过,自己定义的非常准确只是需要长时间累积,而熊猫则是自带规则唯一的问题就是偶尔有错杀
    jdjd
        15
    jdjd  
    OP
       2018-05-10 07:57:28 +08:00 via iPhone
    @abirdcanfly
    @bao3
    不过有没有这种可能,短信拦截上传短信不是通过 App 读取短信以后上传,而是通过 iOS 内置服务自动上传到第三方服务器
    也就是说关闭 App 联网权限也还是会上传
    当然这只是猜测
    niklause
        16
    niklause  
       2018-05-10 08:50:37 +08:00 via iPhone
    @Milonga 银行交易验证码呢?
    xummer
        17
    xummer  
       2018-05-10 09:15:07 +08:00
    @Liir 应该是那个号码曾经发过的短信被识别为垃圾短信,然后该号码就进了黑名单,之后该号码发的短信都被过滤掉了
    abirdcanfly
        18
    abirdcanfly  
       2018-05-10 09:27:23 +08:00 via iPhone
    @jdjd “而是通过 iOS 内置服务自动上传到第三方服务器 ”,这个猜想过于勉强了
    Liir
        19
    Liir  
       2018-05-10 09:30:55 +08:00
    @xummer 熊猫有这个机制么?如果有的话,显然很不合理啊。
    Milonga
        20
    Milonga  
       2018-05-10 09:38:43 +08:00
    @niklause 只有产生交易才会校验验证码 你告诉我一个短信过滤器从哪获得我的完整卡号交易密码
    Removable
        21
    Removable  
       2018-05-10 09:41:07 +08:00
    @Liir #19 这好像是 ios 的机制,好像是第一次这个号码如果因为垃圾短信被放进了过滤那一栏,那以后该号码发的所有短信都直接进过滤栏,除非先把这个号码的所有短信都删了,那下次就重新按是否为垃圾短信重新判断
    tscat
        22
    tscat  
       2018-05-10 09:44:26 +08:00
    @Milonga 配合社工啊兄弟。
    知道你手机号了,然后看看你有没有在哪里登记过卡号,比如支付平台的数据库。
    这样卡号+手机号+短信都有了。可以做的事情就多了
    tscat
        23
    tscat  
       2018-05-10 09:45:43 +08:00
    @Milonga 再不济,通过你的手机号去试各个厂商的账号系统。
    支付宝微信可能搞不定,但是很多公司凭验证码就能登录了。。。特别特别多
    Liir
        24
    Liir  
       2018-05-10 09:46:43 +08:00
    @Removable 我把过滤短信都删了观察两天看看。
    aheadlead
        25
    aheadlead  
       2018-05-10 09:47:41 +08:00
    @waylybaye 有请熊猫吃短信的作者
    Removable
        26
    Removable  
       2018-05-10 09:49:00 +08:00
    @Liir #24 你可以找个不在你联系人里的号码先发个垃圾短信试试 →_→
    wantyourkiss
        27
    wantyourkiss  
       2018-05-10 09:52:56 +08:00
    @yushiro 可我银行卡里没钱
    oxoxoxox
        28
    oxoxoxox  
       2018-05-10 10:28:02 +08:00
    @tscat @so898 @ech0x @jdjd 各位别乱猜了 先了解一下 iOS 11 短信拦截是怎么实现的吧
    https://yq.aliyun.com/articles/98864
    https://www.v2ex.com/t/366336
    jdjd
        29
    jdjd  
    OP
       2018-05-10 10:36:13 +08:00 via iPhone
    @oxoxoxox 那就和我想的一样啊
    发送短信到服务器的是 iOS 内置的服务(文章里面说是信息 App )
    也就是说无论是否禁用第三方过滤垃圾短信 App 的联网权限,都无法禁止短信被上传到第三方服务器
    SourceMan
        30
    SourceMan  
       2018-05-10 10:40:21 +08:00
    回来看了下楼主的回复
    有罪定论,散了散了
    tscat
        31
    tscat  
       2018-05-10 10:45:28 +08:00
    @oxoxoxox 我当然知道是怎么拦截的。。我只是在反驳那个人觉得自己的信息一文钱不值。。
    验证码泄露都没关系???
    so898
        32
    so898  
       2018-05-10 10:46:11 +08:00
    @oxoxoxox “乱猜”是个什么鬼,我又不是没读过文档写过测试代码过来瞎掰的
    这次框架本来就允许上传短信内容到服务器端,服务器能够知道短信发送者和短信内容
    https://zhuanlan.zhihu.com/p/27560301
    至于熊猫有没有上传这个事情,我是不知道,有心者安装一下截个网络包估计就能知道了,我是没这个闲心,毕竟塞尔达还有那么多神殿需要开呢
    jdjd
        33
    jdjd  
    OP
       2018-05-10 10:46:29 +08:00 via iPhone
    @Milonga 不说社工什么的,还可以通过其他短信记录什么的分析

    本来苹果的意思是,第三方不知道收件人的手机号,还有一点安全可言,
    但有很多奇葩的垃圾短信,开头是
    尊敬的用户+你的电话号码,...

    还有不少短信,特别是那种垄断机构的,不注意包含隐私,很容易包含身 份 证 号,或者详细住址精确到门牌号的



    而且大家不一定都想着被盗嘛,还可以通过分析你的短信,来给你精准营销啊,比如你收到了证券公司的验证码,那就把你的手机号卖给做理财的...

    记得以前不少用 360 拦截骚扰电话垃圾短信的人说,自从用了 360,骚扰电话和垃圾短信都多了起来,搞得不得不继续用 360

    @abirdcanfly
    你看看 28 楼吧
    jdjd
        34
    jdjd  
    OP
       2018-05-10 10:50:54 +08:00 via iPhone
    @SourceMan 我怎么有罪定论了
    你懂不懂什么叫有罪定论
    我只是说出于保护自己的目的,要是觉得有可能泄露隐私,那就不要用

    路上遇到一个推销房子的,让留一个手机号,我怕他拿去了打电话来推销房子,我不留,就叫有罪定论?

    你既然是无罪定论,你就把你的隐私到处留阿,毕竟拿到你隐私的人,不一定非要拿你的隐私搞事情。
    SourceMan
        35
    SourceMan  
       2018-05-10 11:00:38 +08:00
    @jdjd #34 你自己 review 下你对于 iOS 短信拦截 API 的言论吧,不要激动,你 34 楼也是先入为主,我并非说的这个,2333,不多说,期待你的下个主题。
    bubuyu
        36
    bubuyu  
       2018-05-10 11:03:58 +08:00
    熊猫关了网络权限也能用。
    Milonga
        37
    Milonga  
       2018-05-10 11:25:49 +08:00
    @jdjd 你这样说我就很同意 而且深有同感 现在包括一些欺诈性质的推荐办信用卡短信还有网贷短信 每天都受到无数条 在享受便利的同时被人出卖
    3a3Mp112
        38
    3a3Mp112  
       2018-05-10 11:27:36 +08:00
    @ivmm
    @Liir 短信脱敏放出来我们看看?
    iiji86
        39
    iiji86  
       2018-05-10 11:37:41 +08:00 via iPhone
    好像它根本就没有请求联网权限啊,在设置里面都找不到它
    Liir
        40
    Liir  
       2018-05-10 11:40:02 +08:00 via iPhone
    @3a3Mp112 都删了。就是银行发来的信用卡扣款信息,没有任何的附带广告内容。
    jdjd
        41
    jdjd  
    OP
       2018-05-10 11:43:10 +08:00 via iPhone
    @iiji86 我下了一个 sms filter+,也没有请求联网权限,熊猫没有下
    不过 28 楼的回复解答了疑问
    @SourceMan 我的言论就是如果有可能把短信传给第三方服务器,那就不用也罢,大环境就这样,一些公司本来就靠倒卖信息赚钱,就算公司不这样做,也难保不会有漏洞被别人黑了
    mornlight
        42
    mornlight  
       2018-05-10 12:55:23 +08:00
    除非你的短信内容里携带了可以定位到你是谁的信息,否则这个机制是安全的。
    如果你想要一个纯净的、无服务端的关键词拦截,32 楼那篇知乎专栏里提供了,开源的你总可以放心吧。
    congcong0806
        43
    congcong0806  
       2018-05-10 13:06:56 +08:00
    如果你有时间,听听这期播客,就解答你的问题了 http://checked.fm/55
    Building
        44
    Building  
       2018-05-10 15:43:07 +08:00 via iPhone
    用 过滤 106 开头 和 放行包含验证码 这两条规则基本可以过滤掉 90%的垃圾短信。为什么是 106 开头去查一下相关政策就知道了。垃圾短信用机器分析学习没有意义。
    Admstor
        45
    Admstor  
       2018-05-10 16:11:16 +08:00
    不用就是
    安全和效率总是要妥协一些的
    何况短信目前基本就是接受验证码
    过不过滤问题并不大
    1.需要处理并且实时处理的短信,往往这个时候我本身就在等待这个短信
    2.需要处理但并不需要实时处理,例如账单类,我本身一天至少会看一次
    3.无需处理的短信,那就随它去了
    xummer
        46
    xummer  
       2018-05-11 09:03:16 +08:00
    @Liir 嗯,是 iOS 的机制导致的
    EIlenZe
        47
    EIlenZe  
       2018-05-11 10:11:35 +08:00
    有请作者亲自回答 @waylybaye
    waylybaye
        48
    waylybaye  
       2018-05-11 12:49:58 +08:00   ❤️ 5
    其实上面说的很清楚了,特别是给的几个链接,一定要我说的话,我也只是重复一下上面说过的:

    1. 首先啊过滤器和主 App 是分开的两个进程,过滤器运行在一个没有网络,(理论上)没法向主 App 回传数据的沙盒中。
    2. 所以过滤器过滤了多少个、什么内容的短信主 App 是不知道的。即使过滤器突破了沙盒限制偷偷告诉了主 App 内容,上面有人也提到了「熊猫吃短信」是不会请求网络权限的(除非你第一次主动提交样本时系统才会弹出是否允许网络访问)
    3. iOS 确实有个机制是过滤器在本地不能判断时可以返回一个值,让系统把短信上传到服务器上进行判断。如果你不信开发者说的,求证也不难,你只要在 iTunes 库里找到 .ipa 文件,解压后找一个 `*.entitlements` 文件,要上传的话里面一定会配置一个上传到服务器的域名,比如下面腾讯的:

    ``` 4 <dict>
    5 ,...<key>aps-environment</key>
    6 ,...<string>production</string>
    7 ,...<key>com.apple.developer.associated-domains</key>
    8 ,...<array>
    9 ,...,...<string>messagefilter:jprx.m.qq.com</string>
    10 ,...</array>
    ```
    lovelynn
        49
    lovelynn  
       2018-05-11 13:37:29 +08:00
    其实我只关心能不能拦截 imessage 的垃圾短信。。。
    qwerasdf123
        50
    qwerasdf123  
       2023-09-28 17:04:17 +08:00
    @Wildstar 上面评论那么多,我也想说这个,网络权限不给不就完事了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1439 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 17:06 · PVG 01:06 · LAX 09:06 · JFK 12:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.