手机被监听还是“意外”

2022-02-24 10:06:59 +08:00
 sonders

上周我使用 uniapp 做了一个个人应用,大概就是可以发表生活动态的 app ,完全个人使用,没有上线,只有安装包,我把安装包下载链接通过微信发给了一个朋友,这个朋友并没有把链接发给别人,奇怪的事情发生了:
2022.2.20 在动态数据里,竟然有一条不是我发表的也不是我朋友发表的动态! 在发表的动态的 UI 里我设计了所使用手机的型号展示,类似于微博那种,于是我看到了一个手机标识,并不是我的也不是我朋友的,我非常生气,质问了我朋友,我朋友说确实没有把下载链接发给别人,以为那个动态是我发的
我的服务接口并没有做验证,没有办法找到访问来源,本来这事情就这样过去了,可是我无意中看七牛云时找到了日志记录,于是翻看了 2022.2.19-2022.2.21 的日志,竟然看到了那个手机标识! 于是通过 IP 找到了位置,纯真数据显示“腾讯云” IP:159.75.138.103 134.175.245.241

ASN 归属地:  广东省广州市
		   腾讯云 数据中心

此外,在访问数据里还看到一些其他品牌的手机访问了七牛云的链接,但在手机上发表动态的只有这两个个 IP 对应的手机型号,是同一个手机,IP 都指向了以上这个地方
微信发给我朋友时,是 http://xxx.xx.xx.xx:xxxx 形式发的
如果我发了一个链接微信需要检测,这个我可以理解,但是安装此安装包,并发表动态我就不能理解动机了

5372 次点击
所在节点    问与答
41 条回复
sonders
2022-02-24 17:18:26 +08:00
@yzkcy 是 POST 请求,而且能够确认是在 app 内正常发送的
yzkcy
2022-02-24 17:29:56 +08:00
@sonders
你发送的是一个链接,不是可执行程序。所以微信需要:
1.访问你的链接,匹配到 APK 下载请求
2.下载 APK 后在相应运行环境里运行。
3.在沙盒环境中运行你的安装包
到这里还能勉强相信阴谋论,微信在“监听”。但是后面还有构造 POST 请求包等,这微信要怎么做?反编译 APK 寻找 API 接口和参数构造请求吗?又为什么只构造请求这一个接口呢?这一切流程纯程序实现还是有人工参与?有人工参与的话,微信每天海量信息,怎么技术实现这一切?做这个的目的又是什么呢?

相比微信这种“监听”,个人从逻辑上更愿意相信是你朋友撒谎了,另外腾讯云 IP 可能是某个公司的外网出口 IP 。
yfugibr
2022-02-24 17:38:21 +08:00
我觉得主要是两种可能:
1. 腾讯拿到陌生 app 人工审核,审核人不小心发布了内容
2. 你朋友把软件分享给别人了,但是看你很生气没敢说真话
MacDows
2022-02-24 17:53:42 +08:00
看起来像机器遍历了所有功能?
sonders
2022-02-24 18:24:47 +08:00
@yzkcy
@yfugibr 关于朋友是否撒谎我的确怀疑过,甚至强硬质问来询问,但是结果是没有,没有理由,也没有动机,甚至差点绝交,所以我愿意相信没有撒谎
b1eberg0n
2022-02-24 18:33:38 +08:00
你朋友手机上有安装反诈 app 或者别的安全软件吗?
delpo
2022-02-24 18:37:03 +08:00
@ltkun delta chat 试用了一下,但是感觉收消息太慢了,似乎 imap 是一分钟轮询一次收件箱?有没有什么解决方案
imn1
2022-02-24 18:41:19 +08:00
我只问一个问题:你是通过微信发一个安装文件的链接给你朋友的么?

实际上我觉得这情况很平常,over
ruixue
2022-02-24 18:45:50 +08:00
@sonders 楼主确认不是朋友那边的问题,那有没有可能是腾讯监测到了 apk 链接,对接到了反诈部门人工审核了?这种审核应该不会是用 virustotal 之类的杀毒引擎扫一遍就完了,估计是类似应用商店的上架审核,会模拟正常的用户使用来判定这个 app 是否是“非法”app
Danswerme
2022-02-24 19:51:06 +08:00
微信检测到 apk 链接,下载 apk 后进行扫描是完全可行的。但是发表动态这种操作应该是人工才能完成的吧?

另外如果微信会尝试访问每一个在微信中发送的链接,那么某些一次性的网页链接,如重置密码、激活码授权的链接通过微信发送后不就直接失效了?
ajaxfunction
2022-02-24 20:53:08 +08:00
这么常见的事情
1 ,微信发链接 微信会扫
2 ,你云服务器 只要有被访问记录,云服务商都会自己模拟访问, 你不做鉴权,所以被数据库自动插入了一条数据
3 ,你服务器只要端口开放,还回被工具扫,特别是 22 3389 等端口
changwei
2022-02-25 00:15:36 +08:00
网上有很多漏洞扫描脚本以及黑帽 SEO 关键词生成器会自动去请求你的 get post 接口做一些测试,或者回复带链接的垃圾广告帮黑帽做 SEO 外链。
主楼主最好把他们发的内容贴上来看一下才能确定是哪种情况
FlyingBird
2022-02-25 00:59:23 +08:00
跟 OP 有很类似的经历,也是用 uni-app 做了一个应用仅仅发给了两个朋友,后来在 uni-app 的统计里面看到了除朋友之外的一个用户,当时也问过朋友并没有发送给别人。和 OP 不一样的是没有用微信发安装包,直接用数据线传的。
Zien
2022-02-25 02:26:29 +08:00
肯定会爬你的,也估计会用虚拟机装你的 App ,但是发表动态我没看懂。这个估计是上头的隐性需求或者规定,企业就算做广告也不会去花那么大周折。
corruptdu
2022-02-25 04:29:43 +08:00
让我想起一件小事,我用的小机场 telegram 售后群里偶尔会有人反馈,他从手机端用 v2RayN 导出的 vmess 链接通过手机微信发送到电脑微信之后复制粘贴导入到 v2RayNG 没法使用。最后的解决办法是手机端通过复制粘贴到笔记软件之后再在电脑端进行导入。
jerryjhou
2022-02-25 05:00:45 +08:00
@yzkcy APK 自动检测已经很成熟了,沙盒虚拟机里跑并模拟人工点击。动态可能是机器人乱按?他这 App 是不是不输入任何字符都能发出去空白动态
ltkun
2022-02-25 06:14:54 +08:00
@delpo 这个相同邮件服务商会快一点 我用微软邮箱发 gnail 就好久 反过来还蛮快 两个 gmail 直接很快 适合比较保密的通信 如果再加上自建邮件服务的话就更好
wangxn
2022-02-25 09:28:13 +08:00
你朋友撒谎了,这是最大的可能。
InvincibleDream
2022-02-25 19:09:48 +08:00
微信通信不是一个私密、安全的通道。不然前段时间也不会有大量政企清退微信群了。
sonders
2022-02-27 19:33:37 +08:00
@b1eberg0n 安装了
@imn1 微信发了一个链接
@ajaxfunction 但是手机标识怎么解释呢,那条数据确实是和正常安装并使用的数据是一样的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/836085

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX