「数码荔枝」关于 Downie 事件始末的说明与回应

2024-03-12 14:49:58 +08:00
 1ychee

事情起末

V 站网友 @Pudddd 在 2024/03/11 发帖,讲述了他购买了正版 Downie ,并用所得激活码 & 邮箱 (1@1.com) 激活 Downie 后,通过软件内的反馈通道提交 issue ,却被 Downie 软件直接判定为盗版,并弹出了一长串内容很不合适的弹窗。

该内容不仅在 V2EX ,也在 Reddit 中引发了大量讨论。

作为 Downie 在中国地区的代理商,我们有必要做一个统一的说明和回应。

首先,无论如何,我代表开发商 Charlie Monroe Software ,以及数码荔枝,向 @Pudddd 以及被此事影响到的用户,诚挚道歉!

其次,帖子出来后,Reddit 原贴中的 @secpoc 用户直接对 Downie 4 进行逆向工程,并表示 Downie 内置了一个 blacklist —— 如果检测到用户使用了来自这个黑名单中的邮箱,将被直接弹窗。同时,软件内不包含任何对用户硬盘内文件进行随机移除的代码,也不包含任何可疑或非法的网络行为:

此时,大概可以猜到,用户 @Pudddd 激活所用邮箱 (1@1.com) 就在上述黑名单中。

接下来,出于谨慎,我们通过邮箱咨询开发商关于此弹窗内容的真实性以及背后的原因。开发商在今日凌晨 (2024/03/12 1:15 AM) 回复。截图如下:

对此弹窗解释的翻译,如下:

“我对这一说法进行了研究,它有一定程度的真实性。这是很久以前遗留下来的 (代码),当时我刚创办公司,不得不经常打击盗版。我完全忘了这一点。

以前,如果有用户在 Downie 盗版的反馈通道提交 issue ,且使用了虚假邮箱 (如,我收到过来自于诸如 f_k@f_k.com 的反馈),且内容非常粗鲁 (如,通过语言羞辱我等行为),那么我就会将那个邮箱加入黑名单,然后对应的用户就会收到这样的弹窗内容。

我知道弹窗内容看上去很吓人,但我保证:Downie 从未删除过用户的任何东西。这只是我尝试对 (自己判定为不友好用户) 的一种恐吓手段。我承认这不是最好的办法。尽管如此,我们从未访问或删除过任何文件。”

所以,能确定的是,在早期有盗版用户在软件内使用 1@1.com 对开发商进行不友好行为,导致开发商将这个特定邮箱加入黑名单。而用户 @Pudddd 在激活软件时,(可能) 出于对自己隐私的保护,恰好使用该邮箱进行软件激活,导致被误伤。(这也是为什么在数码荔枝与 Downie 合作的那么多年后,同样也第一次发现软件内竟然还有这种弹窗文案,可见出现的概率很低。)

开发商在邮件中继续表示:

”在下一次更新中,这个问题将被彻底删除。如前所述,这是多年前留下的问题 —— 我甚至都忘了这个问题的存在。很抱歉以这种方式出现了这个问题。不过,它将会被删除,而且它始终只是一条信息,没有删除过任何东西。“

随后,在半小时后的下一份邮件中,开发商表示自己已在推特上公开进行道歉,且在今天 (2024/03/12) 更新软件版本至 4.7.5 (4682),履行自己的承诺,移除了该弹窗的相关代码:

开发商在邮件中的道歉,翻译如下:

“我真的对此感到非常抱歉,如果时间能回溯,我一定不会在软件内添加这样的文案。它很愚蠢,也不成熟。如果你能在 V2EX 中也能 post 我的道歉链接,并进行解释,那么这会很有用。”

开发商的公开道歉声明如下: https://twitter.com/charlieMonroe/status/1767223124930482647

最后,在今天 (2024/03/12) 与开发商的往来邮件中,开发商表示如果能得到该用户的允许与联系方式,他会专门写一份道歉信给他 (目前数码荔枝已通过私聊向该用户转达开发商的想法,还在等待回复中):

这件事情的前后大致就是如此。

数码荔枝

数码荔枝负责 Downie 在中国的销售 / 推广 / 客服支持,也有义务处理并解释有关 Downie 的事务。在这个帖子中,我们尝试以最客观的方式去描述该事件,也尝试站在各方角度去理解当事人的心情。

  1. 我们能理解用户 @Pudddd 对看到这个弹窗提示的愤慨。(再次,我代表开发商 Charlie Monroe Software ,以及数码荔枝,向 @Pudddd 以及被此事影响到的用户,诚挚道歉!)

  2. 我们也能理解开发商对盗版用户的厌恶,但就此在早期撰写此弹窗文案,是非常不妥的。在昨天我们联系开发商的邮件中,也希望开发商采用更温和中性的措辞。建议措辞翻译为:“你可能运行的是 Downie 的盗版,我们将暂时停止为你提供技术支持,直到我们排除这种可能性。请联系我们并提供你当时购买的激活码、付款记录或其他信息。” 不过开发商更新了软件版本至 4.7.5 (4682),已移除了该弹窗的相关代码。

  3. 对于 Downie 较为简陋的盗版验证机制,我们自己也感到不解。我们会在之后与开发商继续沟通,看看是否能够改进盗版验证机制,避免未来出现 [购买了正版,却被鉴定为盗版] 的尴尬事情。

尾声

在本次事件中,因为在激活软件时随手输入的邮箱,正好存在于开发商的 blacklist 中,后续引发了一系列事情,这是任何人都想不到的。

我们在任何时候,都建议顾客在购买或者激活软件时,都使用常用的、同一个邮箱。经历过这个事情后,我们觉得这个建议更加重要了。

最后,我再次代表开发商 Charlie Monroe Software ,以及数码荔枝,向 @Pudddd 以及被此事影响到的用户,诚挚道歉!

37449 次点击
所在节点    macOS
213 条回复
lilyaki
2024-03-12 18:02:50 +08:00
我想说我本来就是路过 pudddd 的帖子留了个言,后来被某个路人 v2er 人身攻击了,真的是不开心啊,同为 Downie 和数码荔枝的用户,所以我才留言希望 pudddd 解决问题而已。希望这事最后都圆满。

另外我今天打算联系数码荔枝关于我 Knotes1 激活码失效的事,有点不好意思所以还没发,因为这个 app 在荔枝已经下架了,而且理论上我应该去联系开发者,不过他们不回复哎。
vipfts
2024-03-12 18:02:58 +08:00
一直用 userscript 解析下载地址, 不会去用这种工具
persistz
2024-03-12 18:03:22 +08:00
有一点我不太理解,如果是因为黑名单触发的,为何不是在激活是触发,而是在反馈 bug 后导致了 revoke 和弹窗呢?
Justin13
2024-03-12 18:09:20 +08:00
[我们在任何时候,都建议顾客在购买或者激活软件时,都使用常用的、同一个邮箱。经历过这个事情后,我们觉得这个建议更加重要了]
建议你不要建议了
凭什么别人的错误要自己买单?
明明是开发者的问题,到你这变成用户也有错?
jtam
2024-03-12 18:12:30 +08:00
我是正版用户,但没被道歉覆盖到,有点蓝瘦香菇。
Baoni
2024-03-12 18:12:57 +08:00
我终于理解为什么 v2 上的画风和 reddit 上不一样了,肯定是因为 v2 各个帖子里都有水军。
然后这些水军英文不好,在 reddit 上洗地的帖子都被踩到看不见了。哈哈哈
wclebb
2024-03-12 18:22:20 +08:00
打了很多话,又删了很多话。(担心会有二极管愤怒的言论上攻击,我不想再艾特举报)
只能说,做得好。

就这样。
owen666
2024-03-12 18:28:40 +08:00
@SkywalkerJi 你和我讨论技术细节用来争辩没有任何意义。用户是否用的是正版和软件是否验证为正版是两个概念。你买了一台序列号,装两台电脑,那肯定就有一台电脑是盗版。就算软件验不出来。那也是在使用盗版。不能说软件验不出来,你用的就是正版了。

你这明显是拿不是当理说。

另外,我和你之前讨论的是什么是正版问题。并没有讨论如何检测正版还是盗版。因此,你扩散出来的检测不出来正版就可以使用其它任何手段,说是我的观点,我也是不同意的。我只是和你说,有序列号的不见得就是正版用户。我反对就是你这个观点。
7Sasuke7L
2024-03-12 18:29:56 +08:00
我本人并非程序员,但是经常用 Downie 这个软件。我想问一下,如果真的植入了随即删除文件的代码,Apple 不会检查到是病毒吗?或者 Apple 不可能给一个软件权限去删除硬盘上的文件,所以从技术角度,我想知道能否做到植入此类代码还可以正常运行不给 Apple 发现。
KevinDo2
2024-03-12 18:33:21 +08:00
完结 撒花 。
wclebb
2024-03-12 18:37:53 +08:00
「我们在任何时候,都建议顾客在购买或者激活软件时,都使用常用的、同一个邮箱。经历过这个事情后,我们觉得这个建议更加重要了。」

是的,很重要。
不然作者不知道是谁。
Justin13
2024-03-12 18:38:04 +08:00
这里有三个问题,并且一个比一个严重
1.把正版用户识别成盗版(这都做不到还卖个屁软件)
2.威胁用户删除文件(这已经是恶意软件)
3.读取用户邮箱信息 mail.plist (侵犯用户隐私)

再看看代理商和作者分别做了回应
1. 代理商建议用户用真实邮箱????
极品啊,你的错误我买单?
这问题不解决你代理商还有脸买软件?

2.先倒打一耙,再嘴硬,最后无奈道歉,删除弹窗,再拿出狡辩的理由
今天张三打了你,明天你就把所有叫张三的都杀了是么?这么离谱的逻辑还有人表示理解

3.装死,没有任何解释,毕竟这可是实锤啊
zhongjun96
2024-03-12 18:39:29 +08:00
@7Sasuke7L #109
首先 Downie 是个下载软件,你不给磁盘权限是无法使用的。
Mac 上,APP 磁盘权限只限制了指定目录,比如桌面,下载,文档,图片等...,程序员常用的.ssh 等核心目录没限制。
Downie 早就被 MAS 下架了,Apple 管不到它。
Helios0
2024-03-12 18:41:26 +08:00
这篇公关只能说如果不看过程、不看原贴以及不仔细看 Reddit ,都会觉得态度良好、处理得当。
在上述描述提到的逆向中,很巧妙的没有直接说明原帖中的 `Downie reads the user's system email address from com.apple.mail.plist for piracy verification.`,而是只说了其余的 4 点,这是否有些偏袒?以及对过程中发生的事情并不提及。这和上文所述的“以最客观的方式”并不对应。
从一个 Downie 付费用户的角度来看(也是从数码荔枝购买),在看到这么离谱的软件行为后,一没看到开发者接收到反馈后立刻正常的处理,二是代理商的补救也没有站在用户的角度去发声(当然我觉得这件事情本质上和代理商也没多大关系)。我只能选择避雷、远离。
Tyrant1984
2024-03-12 18:56:20 +08:00
这种只凭激活码来区分时候是正版的情况,我记得 Win98 也是这样,小时候从同学家的品牌机说明书上把序列号抄回家,然后用了好多年~~
但是放在 2024 年,还有这样激活的商业软件,确实有点复古~~
Hayashikawa
2024-03-12 19:05:11 +08:00
@gpt5 #38 可能是「 youtube-dl 」不支持,所以他也支持不了。
Daitabashi
2024-03-12 19:11:32 +08:00
"Downie reads the user's system email address from com.apple. mail. plist for piracy verification."

有人能给我解释一下这在 mac 上是一个常见且无害的行为吗
LeonParker
2024-03-12 19:12:38 +08:00
“this is somewhat true”
“false information”
Ahsidoll
2024-03-12 19:19:35 +08:00
我还以为最后有什么实质性的补偿方案呢,真的是纯口头道歉呀。
JackYao
2024-03-12 19:46:13 +08:00
@Ahsidoll 我不知道你想要什么补偿?类似赔钱?还是什么类似的解决方案?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1022882

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX