V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
smilexyk
V2EX  ›  Apple

原以为只有 QQ 在上传心跳包的我真是 naive

  •  
  •   smilexyk · 2017-03-01 11:33:59 +08:00 · 18462 次点击
    这是一个创建于 2854 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前段时间一直都是直接 REJECT 掉 QQ 的截图内置应用的联网权限,今天突发奇想直接 REJECT 了请求网址,然后就看到了如下的一幕…… Request Header 如下:
    POST /analytics/rqdsync HTTP/1.1
    Host: monitor.uu.qq.com
    Accept: */*
    bid: com.Tencent.JietuFramework
    Accept-Language: zh-cn
    Accept-Encoding: gzip, deflate
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 416
    User-Agent: %E5%BE%AE%E4%BF%A1/7965 CFNetwork/807.2.14 Darwin/16.4.0 (x86_64)
    Connection: keep-alive
    pver: 2.2.0(7965)
    pid: com.Tencent.JietuFramework

    120 条回复    2017-03-03 15:23:08 +08:00
    1  2  
    smilexyk
        101
    smilexyk  
    OP
       2017-03-02 09:44:01 +08:00 via iPhone
    @famouslastword 反正我也看出来了,你无非不就是想让我承认我就是个菜鸡你最厉害么?行啊无所谓的,反正我又没啥损失?比我厉害又啥都说明不了,纠结这个东西除了浪费我的时间之外没什么鬼用,你以后出去爱怎么吹怎么吹,吹我给你赔偿精神损失都成,行了吧?
    smilexyk
        102
    smilexyk  
    OP
       2017-03-02 09:46:12 +08:00 via iPhone
    @famouslastword 另外根据我不多的一点人生经验,慎谈“永远”,因为这是最容易被打脸的事情之一了
    famouslastword
        103
    famouslastword  
       2017-03-02 09:57:54 +08:00
    @Lucius 请你想象一下忍受一个不懂装懂,还想偷换概念为求自保面子的同事 :) 讨厌就请 block ,不然要这个功能干啥,还有 block 前请不要回贴,这也是素质。


    @smilexyk 从你回贴就知道你不是做技术的人啦,根本不用我说,其他人看到自然都懂,算了吧。
    smilexyk
        104
    smilexyk  
    OP
       2017-03-02 10:02:44 +08:00 via iPhone
    @famouslastword 原话还给你,讨厌我可以 block , V 站给了这个功能,您大可以随意使用
    phdyu
        105
    phdyu  
       2017-03-02 10:05:53 +08:00
    不会包含用户隐私,没说能不能,可不可以,会不会获取得到用户隐私。🤔🤔
    smilexyk
        106
    smilexyk  
    OP
       2017-03-02 10:09:36 +08:00 via iPhone
    @phdyu
    第一,能不能的问题上,回答肯定是“能”,最简单的可以获取设备名,大多数人的主机名应该都是“自己的名字+的 MacBook ”什么的,也算是个隐私数据吧
    第二,可以不可以,是可以的,因为绝大多数公司的用户服务条款中都会要求用户同意收集一定数据的许可,法律上来说确实是可以的
    最后,会不会,那我只能说,看厂商自律
    yangqi
        107
    yangqi  
       2017-03-02 10:18:12 +08:00
    @famouslastword 你既然知道 http 不安全,那还说那么多风凉话?看来你是为国内众多厂商洗地的?

    前段加密太容易破解了,但大部分不值得去破解。 security through obscurity 不是真正的安全。
    yangqi
        108
    yangqi  
       2017-03-02 10:20:13 +08:00
    @famouslastword 那你是怎么忍受你自己的不懂装懂的呢?
    phdyu
        109
    phdyu  
       2017-03-02 10:32:07 +08:00
    @smilexyk 配合有关部门实时调用截图.app 上传用户操作界面呢🤔🤔🤔🤔
    smilexyk
        110
    smilexyk  
    OP
       2017-03-02 10:46:16 +08:00 via iPhone
    @phdyu 我只能说目前请求包的大小远小于一张屏幕截图的正常大小,所以至少目前这个可能性几乎没有
    famouslastword
        111
    famouslastword  
       2017-03-02 11:30:04 +08:00
    @yangqi 不懂装懂的是你,你们这些满嘴 buzzword 的人平时真懒得说你们,现实很多时候就是权衡成本的,你说太容易你就秒破个 RSA 来看看?不值得破解?登录密码值不值得?


    @smilexyk 你现在疑神疑鬼不又兜回原始立场?你既然不相信那你还要用?能学习一下国外网友一样秒不用 digg.com ? google play 框架还自动后台更新安装用户完全不会发觉啊?都说了质疑需要逻辑,从你注册那刻起你的私隐就已经交给厂商了,如果不愿意就别用,用了还注意这些细节你说是不是蛋疼?厂商有必要吗?
    bjlbeyond
        112
    bjlbeyond  
       2017-03-02 11:31:34 +08:00
    @smilexyk 请教下,我的 charles 为什么抓不到这个包数据呢?只有 surge 能抓到吗
    smilexyk
        113
    smilexyk  
    OP
       2017-03-02 15:45:04 +08:00 via iPhone
    @bjlbeyond 根据官方说法这是个 bug ,也就是说是有触发条件的,具体如何触发我现在也在尝试复现。初步判断在程序打开之前就开始拒绝这个地址的请求有可能会触发,但是具体的我也在尝试中
    yangqi
        114
    yangqi  
       2017-03-02 22:28:07 +08:00
    @famouslastword 登录密码也要看什么站的了,随便一个小站的密码有什么好破解的。再说我破解不了就说明安全了?脑子秀逗了。我告诉你我什么密码都破解不了,你怎么不把你密码设置成 123456 ?智商堪忧
    Jasmine2016
        115
    Jasmine2016  
       2017-03-03 09:19:41 +08:00
    爽!凡是回复数大于 100 的,不是盖楼有奖品,就是有撕逼。

    另外我也想说一点:
    有的人,纵使疾病缠身,千疮百孔,也没有放弃生存的欲望。有的人,身体健康,生活幸福,却早已没有奋斗的目标,甚至还想轻生。
    如果把放弃治疗跟放弃隐私拿来作比较,会不会有人认同。
    lwd2136
        116
    lwd2136  
       2017-03-03 10:08:25 +08:00
    这玩意儿 好几个月之前就出现了 早就 block 链接了
    lwd2136
        117
    lwd2136  
       2017-03-03 10:11:51 +08:00
    版本 5.4.1   2017/01/19 这个版本依旧
    smilexyk
        118
    smilexyk  
    OP
       2017-03-03 12:34:53 +08:00 via iPhone
    @lwd2136 按照官方的说法来看,估计就是导入了早期的 RQD SDK ,然后 app 更新的时候因为老版本的 SDK 也能用就没把 SDK 同步更新了;就是不知道最后这个锅内部给谁去背了(笑)
    benwwchen
        119
    benwwchen  
       2017-03-03 14:00:31 +08:00
    其实聊天记录、朋友圈什么的不是都会存在他们服务器上的吗?这些数据还不够隐私吗?假如真要偷偷收集其它数据的话,顺带平时就可以一并上传吧,加密了你又不会发现,没必要另外开一个连接啊…… 真的要较真的话要用二进制逆向工程才有可能看出在上传什么吧。(语气可能有点奇怪,但绝无恶意)
    lwd2136
        120
    lwd2136  
       2017-03-03 15:23:08 +08:00
    @smilexyk 我的意思很简单,他们貌似说已经修复了? 但是最新版还是找个问题
    找一堆理由 屁用 我就不信几个月都不知道有这个问题 难道他们不对自己软件抓包 笑了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4145 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:28 · PVG 13:28 · LAX 21:28 · JFK 00:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.