V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
des
V2EX  ›  Android

今天发现在酷安下的 app 有私货

  •  
  •   des · 2016-04-28 21:01:17 +08:00 via Android · 51881 次点击
    这是一个创建于 3155 天前的主题,其中的信息可能已经有所发展或是发生改变。
    就是这个

    在 data 目录发现的


    相信大家用屁股想都能知道是做啥的。
    新版的酷市场有校检,不大可能被劫持

    说实话,我还是蛮相信酷安的,相信不是他们自己干的。以后我还是会继续用。
    但是有理由相信他们的审核机制有问题,不管哪里弄得 apk 都能上。
    第 1 条附言  ·  2016-04-28 21:50:32 +08:00
    很可惜的是我自己复现失败了。
    是不是我想弄大新闻大家自己斟酌好了
    165 条回复    2018-02-24 17:34:13 +08:00
    1  2  
    dphdjy
        101
    dphdjy  
       2016-04-29 13:03:46 +08:00 via Android
    翻页
    xuboying
        102
    xuboying  
       2016-04-29 13:04:51 +08:00 via Android
    @xpfocus 建议加强 app 举报渠道
    dphdjy
        103
    dphdjy  
       2016-04-29 13:08:54 +08:00 via Android
    @xuboying 举报直接 @酷安小编 @八百标兵 ... 就行了
    chengzhoukun
        104
    chengzhoukun  
       2016-04-29 13:16:55 +08:00 via Android
    @xpfocus Google 警告应该是 SELinux 的问题,你们排查一下吧, MiXplorer 也被警告了
    tastypear
        105
    tastypear  
       2016-04-29 13:18:12 +08:00
    @chengzhoukun 嗯,刚刚我们群里也有人发了 xda 的贴子,等下就查
    janrone
        106
    janrone  
       2016-04-29 13:18:51 +08:00
    没有金钢钻就别揽瓷器活。又想起了那酒店经理的话,一没强奸,而已没着火, 如果是你妈呢 。 怂货一个,责任哪去了,谁还敢用你们 。
    dphdjy
        107
    dphdjy  
       2016-04-29 13:22:54 +08:00 via Android
    @janrone 这论调我想起来快播庭审的缓存审核问题。。。
    xpfocus
        108
    xpfocus  
       2016-04-29 13:24:30 +08:00
    @janrone 你这是典型的 you can you up , no can no bb 心态,楼主发现这个 apk 有问题,可这 apk 在国内各大市场都上架了,照你这意思,应用宝 豌豆荚这些市场连这种审查都做不到,干脆都关门算了。
    hfl1995
        109
    hfl1995  
       2016-04-29 13:27:47 +08:00
    @janrone 谷歌的审查也有问题
    dphdjy
        110
    dphdjy  
       2016-04-29 13:31:32 +08:00 via Android
    私以为话题应该转向
    如何解决,做好完备的审核机制,而不是一味的官僚主义的纠责

    以及技术社区居然开始讨论责任问题了~
    还有技术何必为难技术~

    所以诸君可以开始 block 了
    yangff
        111
    yangff  
       2016-04-29 13:32:09 +08:00
    play 上有问题的应用还少吗……
    信 play 还不如相信 360 能杀毒
    chengzhoukun
        112
    chengzhoukun  
       2016-04-29 13:34:23 +08:00
    @yangff 那还是信 play 吧
    xpfocus
        113
    xpfocus  
       2016-04-29 13:42:05 +08:00
    @chengzhoukun 就 play 那审核机制和没有一样,如果要搞审核,就得像苹果那样,建立一套严格得规范, app 都要经过严格的代码+人工审核才能上架,但很显然,开放的 google 肯定不会这么玩的
    shanks
        114
    shanks  
       2016-04-29 13:43:01 +08:00
    其实我很理解这种状况。。酷安不是不想做好审核,而是根本腾不出这个资源去做审核;这是一个客观存在的矛盾。。。还是用 KFC 做比喻,大多数人是觉得 KFC 比较干净才去,结果发生了鸡肉问题,群众意见是 KFC 应该做好肉质的把关, KFC 觉得 1. 全国鸡肉都有问题,不只是我们。 2. 我们腾不出人手去做供应商判断和肉质检查了
    xpfocus
        115
    xpfocus  
       2016-04-29 13:43:33 +08:00
    @chengzhoukun 不管是国内还是国外,其实你们会发现很多有问题的 app 都来自国内,所以是国内这个大环境把很多开发者拉下水了
    zztemp
        116
    zztemp  
       2016-04-29 13:45:15 +08:00
    来源审核,对比签名可以发现酷安已经做到了来源审核,并不存在“不管哪里弄得 apk 都能上”。
    至此楼主主题疑问已消除。
    至于跟帖衍生出的安全性,技术上,试问安卓现在有哪个市场——包括 play ——能做到靠谱的安全审核? play 每次被爆出有木马 app 的新闻,木马数量都是数百上千的。
    P.S. 截图里这个提权脚本,没授予 root 权限根本就执行不了。作者改了个包名, play 就给重新上架了……
    tastypear
        117
    tastypear  
       2016-04-29 13:45:56 +08:00
    @21grams 我表述有问题,在没有包的时候 play 用以鉴定最初作者,签名用以鉴定两个包是否是同一作者,签名一致就认为没问题,就像同一个产品换了个包装的感觉,生产厂商和食品编号是一致的。
    dphdjy
        118
    dphdjy  
       2016-04-29 13:54:12 +08:00 via Android
    来讨论审核吧!分析的话~

    沙盒 /逆向

    沙盒: 改个虚拟机监控所有 API 调用,然后分析?_(:з)∠)_
    逆向: 即使不利用逆向工具 bug ,不考虑法律问题,不看 C 层,从何而来足够的人力物力?

    即使是沙盒那么监控周期多少适合?如果定向破坏肿么办?

    所以目前最佳的审核方式就是人为举报。。。

    而 Google 本身开源 Android 就有完备的第三方源采用机制,从禁用第三方源,版本升级的签名校验,权限控制,而且交给用户极大的自由度,所以良好的使用习惯能解决大部分问题。

    而对于自提权之类的问题。。。打死开发者就好了,说那么多干嘛呢?
    xuboying
        119
    xuboying  
       2016-04-29 13:58:33 +08:00 via Android
    看来梨编的解释我才知道我靠 play 也不靠谱啊,怎么没人敢挑战老大哥。。。
    bp0
        120
    bp0  
       2016-04-29 14:07:57 +08:00
    @tastypear 你提供的图片中, play.apk 的 HASH 值明显与其他两个不同, HASH 值不同代表这个 apk 是被人修改过的,比如删除或者添加了文件。

    因为 apk 的签名是针对文件的,并没有一个是针对完整 apk 包的,所以 apk 包的 HASH 值还是有必要参考的。

    只不过想不明白,为什么 HASH 值不同,但是签名却还一样。难道 apk 在验证签名时只验证 MANIFEST.MF 文件中记录的文件吗?

    建议酷安能根据这次事情,完善自己的提示和审查机制。你的每一次提升都会帮助你留住更多的用户。

    就比如这次, 3 个文件的 HASH 值不同,完全可以在网页提示一下。这应该不需要高深的技术,去验证 apk 是否包含病毒什么的吧?
    xpfocus
        121
    xpfocus  
       2016-04-29 14:12:36 +08:00
    @bp0 如果你是开发者,你总要弄几个渠道包,方便自己统计各家渠道的量吧,所以这个 md5 肯定是不同,但签名却相同,基本上所有的 app 开发者都是这么来晚
    dphdjy
        122
    dphdjy  
       2016-04-29 14:16:29 +08:00 via Android
    @bp0 签名一致说明原作者编译签名或者签名泄露

    而文件的哈希不一样说明文件变更,而文件变更属于开发的正常情况,比如多渠道,版本更新,所以哈希在开发中不应该纳入比较情况

    以上,还有 LS 那些怀疑哈希的都不是写 Android 的吧 _(:з)∠)_
    realpg
        123
    realpg  
       2016-04-29 14:18:44 +08:00
    前天从酷安下了个虾米音乐,启动后弹出 360 安全专版,吓得我立刻删除了酷安
    Reficul
        124
    Reficul  
       2016-04-29 14:20:12 +08:00
    @bp0
    签名相同保证包是由同一个私钥签发的, HASH 不同说明文件不同。

    打个比方就是签名是瓷器底下那个章,说明这个是我做的,但是不一定是同一个瓷器;当然,可能图章被人复制走了。
    dphdjy
        125
    dphdjy  
       2016-04-29 14:20:30 +08:00 via Android
    @realpg 这个大概是劫持,不对啊
    coolapk 不是有校验?
    唉~唉~新 py 交易?
    这就尴尬了 XD
    realpg
        126
    realpg  
       2016-04-29 14:22:05 +08:00
    @dphdjy
    你要说这个是劫持,那这地洗的也太强行了吧……
    dphdjy
        127
    dphdjy  
       2016-04-29 14:23:42 +08:00 via Android
    @realpg 从第 8 个字就不是洗了啊~
    如果真的绝逼是新 Py 交易
    salary123
        128
    salary123  
       2016-04-29 14:24:21 +08:00
    国内市场本来就乱。备两部机子不就好。重要的个人使用只装正规官方下载。其他乱七八糟的放另一部机子不就好了。要用又要嫌弃,那有这种事情,特别是国内这种无人监管的乱象。
    realpg
        129
    realpg  
       2016-04-29 14:25:26 +08:00
    @dphdjy
    “你要” 表示假设
    这个真的太坑了,你要出个酷安专版我都能认可,你放个 360 专版
    zztemp
        130
    zztemp  
       2016-04-29 14:27:38 +08:00
    我错了,“截图里这个提权脚本,没授予 root 权限根本就执行不了”。楼主提取的 apk 里有提权。

    安全审核是具有市场前景,但我不认为酷安目前或短期内有这个资源与能力做好并保证做好这件事。因为 Play 都没有做好,同时做杀毒与应用市场的某些市场亦没有做好,这些还是能直接发布 apk 的源头市场,更何况酷安这种不接受直接发布 apk 的中转站。
    MD5 为 339fb73ca09ee7ec2780d08a2c0c3432 的这个 apk 用了几个市面上的安全工具都没扫描出问题,在不能作出保证的前提下,任何说自己能做安全检测的都是耍流氓。
    dphdjy
        131
    dphdjy  
       2016-04-29 14:28:06 +08:00 via Android
    @realpg 想起来最近上线一个 coolapk 专版某软件然后除了文件名有个 coolapk ,整个应用都没有任何。。。

    是不是 coolapk 忘了~反正类似的事情~然后专版就改了个文件名。。。
    xuboying
        132
    xuboying  
       2016-04-29 14:31:45 +08:00 via Android
    @realpg 我特意立刻去下了个虾米音乐,第一次启动 splash 可以看到 360 ,但是以后再启动就再也看不到 360 了,在关于里面也看不到任何 360 的信息
    chengzhoukun
        133
    chengzhoukun  
       2016-04-29 14:36:06 +08:00
    @zztemp Google 的策略问题,我觉得无可厚非, Google 连你手机上非 play 下载的恶意应用都扫描了,我觉得做到这一步就够了, play 上主要还是靠举报,国产 app 不遵守 play 的规范下架无数次了,比如 QQ 、支付宝、百度地图
    xpfocus
        134
    xpfocus  
       2016-04-29 14:39:11 +08:00   ❤️ 2
    @realpg 这个更新是这样的,以前我们只认 play ,现在很多国内开发者已经放弃 play 了,所以我们会跟着国内市场更新,主要是应用宝 360 百度 豌豆荚,之前的时候几大市场还有些节操,比如这种挂 360 logo 的首发版,其他市场都是不鸟他的,等他首发期过了之后他们再更新,所以我们就是这么判断,如果一个新版只有其中一家市场有,那多半就是首发,我们也跟着等,如果大家都更新了那说明可以更新了,但到了后面竞争太残酷了,各家市场开始不要节操了,不管你有没首发 logo ,谁家先有新版我就爬谁,所以经常是一个应用,你从应用宝下载的开启带着 360 的首发 logo ,这个时候我们自然也以为是开发者已经在各大市场自行上传无 logo 的版本了,那我们当然也跟着更新了,毕竟每天几百个 app ,我们不可能每个更新都要安装一次看吧,所以这个问题我们解决不好,因为一线超级大市场也解决不了,只能怪这种首发机制了。
    realpg
        135
    realpg  
       2016-04-29 14:52:05 +08:00
    @xuboying
    如果这是一个 splash 广告,比如上面写的 360 手机卫士, 360 手机杀毒,哪怕带个链接,带个按钮提示下载 360 确认取消,我都会认为这是个广告,如果我不让虾米音乐做广告那我绝对是精神病

    如果我没记错,这上面写的是 360 专版。我没兴趣也没时间去像你那样一个个功能去爬有没有啥隐藏功能

    @xpfoucs
    我信任酷安的根本原因就是,之前的经验表明,你家的软件来路最可靠,基本是跟官方完全一致的版本,无论来源是哪里,是 play ,不是 play ,都是跟最正统的官方版一致,这就是信任。当 360 专版都进入你家的商店的时候,我对你家市场软件的信任直接降低到了 0.

    我并没有卸载那个 360 专版的虾米音乐,因为 360 专版在我的权限体系下也不会多干什么,我卸载的是你家市场,因为你辜负了我对你家市场的信任,而且并不是不可替代。

    我的机器是 MIUI 系统,无论怎样,你家市场都是个小众,跟应用宝、小米商店用户数量差距很大。当 360 专版都能进入你家市场的时候,我觉得还是用户更多的小米商店能让我放心一些。好歹有隐藏的问题,会更早的被人发现

    bp0
        136
    bp0  
       2016-04-29 14:52:41 +08:00
    @xpfocus
    @dphdjy

    我确实不开发 Android ,不知道他们都是这么玩的。

    @Reficul

    听你这么说,我突然意识到,图片里面显示的应该是数字证书的指纹信息。
    xuboying
        137
    xuboying  
       2016-04-29 14:55:43 +08:00 via Android
    @realpg 我也没看清有没有写专版,但是我再也看不到那个 splash 了 233333
    chengzhoukun
        138
    chengzhoukun  
       2016-04-29 14:57:35 +08:00
    @realpg 都玩 telegram 了,软件还是 play 下吧,
    另外我对国产 Rom 没什么好感,也不觉得厂家的应用商店有多安全
    xuboying
        139
    xuboying  
       2016-04-29 14:57:36 +08:00 via Android
    @xuboying 今天讨论的结果决定了我以后升级 app 的顺序是 1 : MIUI 市场, 2 : cool apk , 3 : apk pure ,还是 132
    xpfocus
        140
    xpfocus  
       2016-04-29 14:59:22 +08:00
    @realpg 恩,你卸载我们也不会说什么,因为现在各大市场都在抢新版,至于为什么会带 360 的 logo 或服务我已经给你解释了,小米的问题就是更新速度太慢,国内现在更新最快的依次是 应用宝和 360 》豌豆荚》百度,另外国内的 app 其实也没在谁家市场更新问题都不大,因为大家现在都很在意自己的品牌,不像以前那么乱来了。
    chengzhoukun
        141
    chengzhoukun  
       2016-04-29 15:02:20 +08:00
    @xuboying play 、 apkpure 、 coolapk
    xuboying
        142
    xuboying  
       2016-04-29 15:07:38 +08:00 via Android
    @chengzhoukun 坚决不装 play 这种耗电大户。 Google 的邮件东西浏览器里用用就行了
    chengzhoukun
        143
    chengzhoukun  
       2016-04-29 15:08:42 +08:00
    国内应用市场的可信度,我用两张图可以说明:

    chengzhoukun
        144
    chengzhoukun  
       2016-04-29 15:11:05 +08:00
    @xuboying 我不知道 play 的耗电是什么意思:
    ovjaywang
        145
    ovjaywang  
       2016-04-29 15:14:30 +08:00 via Android
    裤安有裤安的生态,自我判断和自我取舍满足自己需求就好了…
    它绝逼做不了大 也绝逼不是最纯净 生态养活了它
    评论里的盗版 用户应用集开车 xposed 插件推荐 享受好的地方就得承担使用它的风险 有技术就共同维护 app 质量 有产品经理的心就多测试多发应用集多滑稽 裤安基佬们多不了 也不算少
    xuboying
        146
    xuboying  
       2016-04-29 15:19:30 +08:00 via Android
    @chengzhoukun 我 2 年+(也许)前用 play+ services ,耗电一直在 10+( Gmail 刚被墙那段时间)。现在看来 Google 的服务大部分都没有用,手机只需要能被 push 微信就可以了,其他服务能关就关,没必要为了个 play 装 Google 服务
    chengzhoukun
        147
    chengzhoukun  
       2016-04-29 15:22:35 +08:00
    @xuboying 可能手机区别吧,或者翻墙方式问题,我从 Galaxy S2 就开始用 Google 服务了,没出现过耗电过大的问题
    dphdjy
        148
    dphdjy  
       2016-04-29 15:24:09 +08:00 via Android
    _(:з)∠)_ 在下投奔 coolapk 的原因如下

    1. 没有额外费用(无盈利应用,不愿投入
    2. 其他大厂商的压榨(强制增加奇怪的东西
    3. 用户粘度,反馈快
    4. 小白相对较少,不用解决太多白痴问题
    flyever
        149
    flyever  
       2016-04-29 15:55:15 +08:00
    都投奔苹果吧,把锅甩给苹果即可
    EchoWhale
        150
    EchoWhale  
       2016-04-29 16:17:29 +08:00 via Android
    @dphdjy 没看明白对比 play 商店有啥优势
    dphdjy
        151
    dphdjy  
       2016-04-29 16:51:41 +08:00 via Android
    @EchoWhale 穷,折腾,懒,自命清高 酱紫
    hfl1995
        152
    hfl1995  
       2016-04-29 18:08:32 +08:00
    @realpg 应该是被劫持了,你应该换个网络环境,
    realpg
        153
    realpg  
       2016-04-29 18:11:25 +08:00
    @hfl1995
    你自己下一个去试试……
    PP
        154
    PP  
       2016-04-29 18:57:59 +08:00 via iPad
    @xpfocus @tastypear 以及本人眼拙没有辨认出来的酷安人士:

    理想也好,商业也罢,光有雄心是不够的,还要有胸怀。希望酷安可以蒸蒸日上!
    Cu635
        155
    Cu635  
       2016-04-29 19:06:01 +08:00
    hinkal
        156
    hinkal  
       2016-04-29 20:27:04 +08:00   ❤️ 1
    一直不知道 v 站那么多酷安粉是怎么回事,酷安 apk 出问题不是头一次了吧,除 play 外我只用 apkpure ,是从 google paly 直接拉取的 apk 。
    dphdjy
        157
    dphdjy  
       2016-04-29 20:41:40 +08:00 via Android   ❤️ 1
    @hinkal 因为呐
    1. 非恶意为知就不应该恶意谴责
    2. 技术何必为难技术
    3. 上述讨论基本无技术性回答,戾气太重

    从问题来说:
    1. 既然打开了未知来源,就不应该乱扔锅
    2. 这锅是编译的锅
    3. 不查清事实,完全自以为是的评论(水军?)
    4. 快播庭审,“那你为什么不审核”,这类愚蠢的问题居然在 v2 出现
    5. 没人理我(¬、¬);

    简言之: 技术性社区环境恶化
    Myprincess
        158
    Myprincess  
       2016-04-29 21:01:36 +08:00   ❤️ 1
    说一下我的看法。因为我不是程序员,我是用户。
    1-只要平台方有利用平台做广告营利的行为,平台应该为用户的(安装软件)安全着想,建议必要的审核机制。特别重要一点就是这个 APP 是放在平台的服务器内。更应该测试后上架。

    2-如果平台方作为非营利性平台,那么应该在平台上面声明此安装包未经安全检测,下载需谨慎。做到提醒用户。但如果用户看到这个警示后仍然下载,则平台不用为此用户安装此软件产生的任何问题担责。因为平台有起到告知义务。

    3-如果平台本身因为人员不足而无法做到每一个 APP 都去做安全检测的话,那么最好的方式是拒绝上架或是让作者提供一份经过权威平台有安全检测过的报告。而平台直接就把这个报告显示在 APP 下面,并告知用户,此 APP 有检测报告,但仍未经过平台方安全人员测试。

    4-关于平台方的抱怨问题,这个可以理解,但并不同情。原因在于,用户之所有到平台方上面去安装 APP 是因为用户选择相信了平台方上的产品或者是安全机制,平台方没有强大的资金或是营利来支撑高水准的服务并不能代表平台方可以免责。这个是两回事。

    作为一用户,我觉得希望平台方做好,因为一个坏 APP 的出现会造成严重的名誉损失。而这些不是平台方与用户的较量,而是平台方要与用户联合起来对恶意 APP 提供方的较量。

    个人观点。请不要生气。
    cabbage
        159
    cabbage  
       2016-04-30 10:13:40 +08:00 via Android
    什么鬼。。。 play 要收紧政策?! TubeMate 提醒都没,直接给我删了,又问我要不要删酷市场。。。只有删除选项,没得选。。。下次提醒的时候是不是要直接给我删了?
    Zohar
        160
    Zohar  
       2016-05-01 06:12:56 +08:00 via Android
    qiaoxin
        161
    qiaoxin  
       2016-05-01 10:29:29 +08:00 via iPhone
    @dphdjy 同意你的看法。我理你了(((*°▽°*)八(*°▽°*)))♪
    darkradx
        162
    darkradx  
       2016-05-04 00:27:39 +08:00 via Android
    play 还是可以 play 的
    vzchsr
        163
    vzchsr  
       2016-05-04 10:36:55 +08:00 via Android
    @xpfocus 小编,也许可以考虑,以后加入应用的收录的来源还有应用的 md5 等,这样可能有不错的效果 。
    asdwddd
        164
    asdwddd  
       2016-05-04 20:21:37 +08:00
    @xpfocus 自从去年发现那个 kingroot 木马软件在酷安反馈了几次,一直没下架,就不敢用酷安了,都是在 play 上下载的,之前家人的手机都装了酷安的,那之后就把删掉了,用的 apkpure ,失去信任后就比较难改了,不过国内傻小白很多,酷安又不会在乎用户的流失
    JohnChu
        165
    JohnChu  
       2018-02-24 17:34:13 +08:00
    @cabbage S4?
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5348 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 08:26 · PVG 16:26 · LAX 00:26 · JFK 03:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.