搜狗语音助手的开发人员怎么能干这种事情!!

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 4359 天前的主题，其中的信息可能已经有所发展或是发生改变。

事情是这样的：今天在测试android应用的时候，在logcat上蹦出了一个很长很显眼的链接。我定睛一看包的名字很陌生，后来上网一查，发现是搜狗语音助手的，就是前几天刚出来的，又认真读了整个链接内容，发现让我很气愤！
如图

图中
12-01 20:05:45.526: I/DataService(7436): http://mengine.go2map.com/location?beiduo_ver=3.0&key=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&coordinate=mercator&device=356409045547166&uvid=null&manufacturer=HTC&platform=HTC Desire&product=null&change_type=d&key_mobile={"cells":{"neighboringCells":[{"network_type":2,"cid":15756,"lac":37304,"rssi":19},{"network_type":2,"cid":9029,"lac":37304,"rssi":18},{"network_type":2,"cid":50652,"lac":37304,"rssi":19},{"network_type":2,"cid":12178,"lac":37304,"rssi":16},{"network_type":2,"cid":15754,"lac":37304,"rssi":16},{"network_type":2,"cid":50591,"lac":37304,"rssi":16}],"mcc":"460","gsmCell":{"cid":50651,"lac":37304},"mnc":"00"},"wifi":{"mac_address":"-**********","ssid":"macb","ip_address":33685514,"rssi":-29,"network_id":8,"link_speed":54,"wifiState":3}}&versioncode=&time=2012-12-01 20:05:45&networkoperatorname=CMCC
图中有个很长的KEY，key到底是什么内容不得而知，也不排除会是极其私人的信息，做了加密处理，而且貌似每次的KEY值都不一样，而且发送的频率很高。。。而后有手机型号等通用参数，等这个倒还可以理解！毕竟很多广告平台也用这个来统计用户信息。但是还发了MAC地址。。。真是很无语，难道还在做用户行为追踪？？感觉就是明目张胆的耍流氓。

而且后面还有一个ROOTREQUEST行为，请求root...这....

搜狗

key

链接

55 条回复 • 1970-01-01 08:00:00 +08:00

bearcat001

2012-12-01 20:52:03 +08:00

掌握用户数据就是王道啊，管他用的用不着，存起来将来说不定能增加个新功能。

lovejoy

2012-12-01 20:55:39 +08:00

装个lbe吧，不该给的权限都不给

tempforv2ex

2012-12-01 21:02:34 +08:00

楼主应该起诉搜狗

alexrezit

2012-12-01 21:25:48 +08:00

把那一串 16 进制字符转换成纯数据试试看?

aisin

2012-12-01 21:33:21 +08:00

@lovejoy 同样装lbe的路过

RelativeLayout

2012-12-01 21:36:46 +08:00

@alexrezit
// 转化十六进制编码为字符串
public static String toStringHex(String s) {
byte[] baKeyword = new byte[s.length() / 2];
for (int i = 0; i < baKeyword.length; i++) {
try {
baKeyword[i] = (byte) (0xff & Integer.parseInt(
s.substring(i * 2, i * 2 + 2), 16));
} catch (Exception e) {
e.printStackTrace();
}
}
try {
s = new String(baKeyword, "utf-8");// UTF-16le:Not
} catch (Exception e1) {
e1.printStackTrace();
}
System.out.println(s);
return s;
}
/*
* 16进制数字字符集
*/
private static String hexString = "0123456789ABCDEF";
public static String decode(String bytes) {
ByteArrayOutputStream baos = new ByteArrayOutputStream(
bytes.length() / 2);
// 将每2位16进制整数组装成一个字节
for (int i = 0; i < bytes.length(); i += 2)
baos.write((hexString.indexOf(bytes.charAt(i)) << 4 | hexString
.indexOf(bytes.charAt(i + 1))));
return new String(baos.toByteArray());
}

用这两个函数试了一下，发现都是乱码。UTF-8换成果GBK也是乱码

SAGAN

2012-12-01 21:41:04 +08:00

这个app貌似没上架play store. Android除了play store里的应用我都不敢装...

youtoshell

2012-12-01 21:50:44 +08:00

还有现在这些个动不动就搞个后台服务启动着，还不让你停止。

alexrezit

2012-12-01 21:56:42 +08:00

@RelativeLayout 谁说一定是字符了? 可能是一张 PNG 图片, 也可能是个 zip 包.

RelativeLayout

2012-12-01 21:58:35 +08:00

@alexrezit 那这就复杂太多了。。。

RelativeLayout

2012-12-01 21:59:11 +08:00

@youtoshell 同意，想desire这种古董机经常卡。

tshwangq

2012-12-01 22:02:58 +08:00

lz，mac地址算什么！！！
你看参数：
coordinate=mercator

mercator
http://en.wikipedia.org/wiki/Mercator_projection
看样子在记录地理位置

tshwangq

2012-12-01 22:05:50 +08:00

http://www.go2map.com/
是搜狗的电子地图，
你确认没有用他们的地图服务么？
结合coordinate= mercator
肯定是在记录或者定位你在哪儿

tshwangq

2012-12-01 22:14:36 +08:00

再digg一下，
beiduo_ver=3.0
这可以看出是在用北斗导航系统了。
http://en.wikipedia.org/wiki/Beidou_navigation_system
http://worldwcraft.blog.com/2011/11/15/the-built-in-3g-gps-navigation-beiduo-function-mid-flat-s-md08-listed/

为什么拼音是这样写的，猜不透 !

RelativeLayout

2012-12-01 22:15:42 +08:00

@tshwangq 我擦，他这是要闹怎样？我安上就用过一次，还有事儿没事儿记录我方位！！！

狗日地。果断卸载！！！

RelativeLayout

2012-12-01 22:16:57 +08:00

@tshwangq 我安上绝对只玩儿过一次，平时也没开过。。。

RelativeLayout

2012-12-01 22:21:11 +08:00

@tshwangq 更厚颜无耻的事儿出现了马上上图

RelativeLayout

2012-12-01 22:24:05 +08:00

绝望了，好了大家散了吧，起码他还很诚实，我还有啥好说的。。。

tshwangq

2012-12-01 22:28:36 +08:00

@RelativeLayout haha

RelativeLayout

2012-12-01 22:30:46 +08:00

@tshwangq 他话都说到这份儿上了，我还有啥好说的。只能说他赢了。。。

sayori

2012-12-01 23:27:47 +08:00

回一句“这种不孝子当初就该把你滴在鞋上！”

youdu

2012-12-02 00:10:18 +08:00

国产软件慎装。。。

vincent1q84

2012-12-02 00:20:12 +08:00

@SAGAN 原来我也这么想，直到我膝盖中了一箭。
韩寒<一个>android的权限太变态了 , 真的有必要吗? http://www.v2ex.com/t/53712
官方是在豌豆荚发布的，play上貌似是个山寨版。

squallsdjl

2012-12-02 00:22:45 +08:00

。。。怎么玩得和zf一样～直播的感觉很痛快～欢迎大家继续科普

lonelybug

2012-12-02 00:26:47 +08:00

这就是为什么Android不安全，而iOS更受普通消费者喜欢，这种事情是绝对不会在iOS上发生的，除非用户允许并授权。

freewizard

2012-12-02 00:36:39 +08:00

楼主应该看看MAC地址是本机的还是无线网关的，如果是后者还是蛮常见的行为，Apple和Google都收集这个，用于辅助定位，详见 http://support.apple.com/kb/HT5467?viewlocale=zh_CN

shuaige

2012-12-02 12:10:39 +08:00

@lovejoy LBE也在偷偷上传，即使把自己也加入拒绝列表。

49degree

2012-12-02 12:21:55 +08:00

上一个ROM，没给搜狗输入法ROOT权限，结果第次打完电话，看完短信，都会报个搜狗输入法的异常
直接果断的卸载。。。国内这些软件都没点公德心。

RelativeLayout

2012-12-02 12:44:08 +08:00

@49degree 我也已经卸载了。

skyun

2012-12-02 18:09:12 +08:00

@lovejoy 是否想过，如果LBE也在收集你的手机资料呢？？？？？？？而且这样就更加可怕了！！！！

gamexg

2012-12-02 18:19:08 +08:00

@lonelybug IOS 也一样，之前不是出过不需要权限应用就可以上传通讯录。

ariza

2012-12-02 19:21:46 +08:00

@aisin miui自带这个

moyaya

2012-12-02 20:28:02 +08:00

论收集信息，谁也没有google收集的多。

sampeng

2012-12-02 20:36:17 +08:00

那个串不出意外是rsa加密的什么很短的东西。。。不排除是你的地理位置

binux

2012-12-02 20:46:28 +08:00

@lonelybug 这种事情是绝对不会在Android上发生的，除非用户允许并授权。

csx163

2012-12-02 22:26:17 +08:00

我认为是基站位置的数据

lonelybug

2012-12-02 22:55:17 +08:00

@binux 那是遵守android文档开发的，不遵守的呢？问题在于google不做人工审查，怎么保证你的信息安全？而且，这个帖子说的就是android程序！

lonelybug

2012-12-02 22:55:44 +08:00

@gamexg 那叫做bug，可以修复，而不是缺少审查。

binux

2012-12-03 08:59:05 +08:00

@lonelybug 安装的时候难道你没有授权吗？

greatghoul

2012-12-03 09:16:22 +08:00

这个有意思，相当诚实呀。

cxh116

2012-12-03 10:10:35 +08:00

@shuaige
@skyun
开源软件来拯救世界了
http://code.google.com/p/android-permissions/

ElmerZhang

2012-12-03 11:36:54 +08:00

请不要冤枉开发者。。。这种事从来不是开发者能做主的

flied

2012-12-03 14:28:29 +08:00

看了各位的回复在MIUI里安装了一个LBE，装完之后无限重启。

试了几次都一样，在网上发现很多人也反映这个问题。

最后进入安全模式才删除了。

不敢用了。

youdu

2012-12-03 15:37:23 +08:00

@cxh116 这个怎么用？装了不会用

longrenle

2012-12-03 15:48:02 +08:00

@flied 这... LBE可是国内良心团队，你想想，其他系统都跑的好好的，杂粮的系统跑不了，你还敢用杂粮？

RelativeLayout

2012-12-03 15:52:26 +08:00

@longrenle 极其同意，LBE M8时代就被大家各种膜拜，一贯作风端正。

cxh116

2012-12-03 15:54:07 +08:00

@youdu 很简单,打开软件,选择你要控制的软件,在不需要的权限上面点一下,就会变成禁用.之后再重启. 注意,需要root权限

larkifly

2012-12-04 13:27:40 +08:00

见怪不怪了，太正常了

lxghost

2012-12-04 14:56:42 +08:00

=。= 多少人电脑是用搜狗输入法的~

RelativeLayout

2012-12-04 15:46:51 +08:00

@lxghost 我操，搜狗也太没职业操守了！还有你的数据是怎么处理出来的。链接里貌似体现不出来上网账号和电话信息。

lxghost

2012-12-04 16:00:16 +08:00

@RelativeLayout http://lcx.cc/?i=2920 乌云社区看到的

loveminds

2012-12-05 10:12:36 +08:00

@tshwangq 作为地图跟踪位置很正常、
貌似还有IMEI？
根据您提供的IMEI号码查询到的信息是：
机型：HTC 渴望 A8180
销售地：印尼
出厂日期：2011/02/09
感谢您一如既往对HTC的支持，为了提高我们的服务品质，
我们将在您退出网页时开展客户满意度调查，请您给予评价以便于我们改进服务品质。

imchaos

2012-12-05 11:07:07 +08:00

要问它附近又什么什么没事，估计得记录你的位置。感觉现在好多 Android 应用要求你的各种权限，像百度音乐那种应用要求我通话监听的权限干毛啊。

Mac

2012-12-05 15:47:14 +08:00

我很好奇，大家为什么要用这个软件，我用小米试了试，让他讲个笑话，结果连说4句没识别出来，弄的我对自己普通话信心大减，然后用小米自带的讯飞，一试即成。

Mac

2012-12-05 15:55:27 +08:00

@imchaos 来电自动暂停播放吧。估计是程序员不会调用手机通话里的描述，只会用监听。