首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

Cure53 的对某个 App 的审计报告,大家怎么看?

  •  
  •   austinchou0126 · 32 天前 · 1681 次点击
    这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。

    新闻标题: Chinese app on Xi’s ideology allows data access to 100 million users’ phones, report says

    https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html

    搜了一下,报告地址: https://cure53.de/analysis_report_sgn.pdf

    数据收集、上报,基本上是国内 Android App 的正常操作,远程 Root 执行什么的,当看到

    public static boolean isRoot() {} 
    public static boolean isRooted() {}
    

    的时候我笑了,这分明就是某个基类 SDK 里提供的一些常见判断函数,做移动端开发的同学应该会了解。

    混淆的话,因为是淘宝的类库,所以估计也没有什么暗箱的操作。

    总之啊,不要老想搞个大新闻...

    19 回复  |  直到 2019-10-14 11:15:18 +08:00
        1
    austinchou0126   32 天前
    哈哈哈哈笑死我了。

    https://twitter.com/mydream2025/status/1183276702257926148?s=20


    > 在 app 逆向领域
    所谓德国安全公司的技术水平
    还不如给学习强国写外挂的那些人
        2
    dji38838c   32 天前
    国内的流氓 App 太多,大家都习惯了

    老外没见过这样的,还以为就这个 App 是这样
        3
    chinvo   32 天前
    这毕竟是个钉钉

    钉钉会有的流氓行为,这个自然也会有
        4
    iPhoneXI   32 天前 via Android
    好奇除了党员,还有被迫要装这玩意儿的吗
        5
    eason1874   32 天前
    接下来请看油管某些频道和某湾各种媒体的表演,他们肯定要大吹特吹
        6
    hkitdog   32 天前 via iPhone   ♥ 1
    哪个国家是写挂大国? 中国在这方面觉对是走在世界最前,逆向工程水平是其他国家没法比的,像 app 加固,至今还没看到外国有哪家大厂做过类似产品
        7
    reus   32 天前   ♥ 3
    所以楼主觉得有点光荣?
        8
    reus   32 天前
    久而不闻其臭?
        9
    liyuhang   32 天前
    我们这儿这就是这样,国外真是井底之蛙,没见过世面(逃
        10
    austinchou0126   32 天前
    @eason1874 推上已经开始吹爆了 简直是狂欢
        11
    yukiww233   32 天前   ♥ 1
    外服游戏的越狱 /root 检测也很盛行啊。。不懂为啥 root 检测变成了 have “superuser” access to all the data on more than 100 million cellphones
        12
    CallMeReznov   32 天前
    想搞个大新闻罢了,非常迎合某些人的思想
        13
    austinchou0126   32 天前 via Android
    @yukiww233 没错,而且明明分析的 Android,配了 iOS 的图
        14
    jiang42   32 天前 via iPhone
    @austinchou0126 远程 Root 执行在报告里是 Evident 分类,不知道有啥好笑的,可以解释一下笑点吗?

    BTW, 我不做移动开发,背景是 EDA, EE, VLSI simulation, Compiler, Formal Verification/Model checking。所以如果有这些领域之外的知识,把我当 6 岁小孩呗
        15
    yukiww233   32 天前
    @jiang42 #14
    报告基本没问题,那些 General information,Connection information,Location 肯定是会拿的,但是关于 root 那一段有点扯。在未 root 机器上执行 su 没有任何意义,在 root 机器上执行 su 也会弹出安装的 su manager 申请权限窗。isRoot 执行以下 su 和 su 路径搜索都只是判断是否 root 的常用手段,可以在许多 sdk 的 util 里找到。

    收集信息是肯定收集的,不过外媒的"have “superuser” access to all the data on more than 100 million cellphones"也太搞笑了,9102 年了找个能提权的 0day 还不如在国产 rom 里开个后门容易多了
        16
    zzNucker   32 天前
    搞个大新闻,在国外媒体转一圈,可信度就提高 12.04 倍
        17
    juded   32 天前 via Android
    有些外媒的客观程度与职业道德不比环球之流高多少,尤其是纽时华尔街这种传统就偏左 /右的。上次彭博社那个虎头蛇尾的超微主板间谍门报道已经彻底太监了。
    不过外媒的宣(xi)传(nao)手法还是够国内好好学一学的。
        18
    Jirajine   32 天前 via Android   ♥ 1
    国内再正常不过的数据收集上报居然被外面当成了“恶意行为”,国内移动端开发同学看来很自豪嘛?
    国外 app 环境监测基本都是 safety net,看没见过的 root 检查见风就是雨确实闹了个乌龙。
    至于那些 SDK,类库到底都是些什么💩东西自己心里没点 b 数吗?
        19
    hyfc   31 天前
    我们这儿就 zhei 样儿,不爱用用🇺🇸人的学习强国去
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4134 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 02:55 · PVG 10:55 · LAX 18:55 · JFK 21:55
    ♥ Do have faith in what you're doing.