V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Android

手机什么应用都不开,在电脑抓包看下你会不会大吃一惊

  •  2
     
  •   binjjam · 7 天前 · 4360 次点击

    今天看到一加上传用户信息那个,恰好我的手机是一加 3 (公测版氢 Rom,未 root,没有安装什么管理类的软件),我想看看手机是不是也有乱七八糟的信息被上传。
    于是我在电脑用 Burp,设置允许局域网访问,然后手机 WIFI 设置代理连到电脑的 Burp,把手机所有应用关掉,接着重启手机。
    重启后啥也没动,挂了几分钟,Burp 就收到了请求,这是其中的一部分。
    什么有道词典、alipay、大众点评、美团、电话邦、N 多 QQ 域名,我真是*了狗了,不看不知道,看了就觉得恶心。

    有的是使用 IP 来访问的,不知道是哪个厂

    有的则是 HTTP 明文请求

    有的良心些 HTTPS

    有的是加密成二进制的看不出是啥

    看得到的部分,除了场景的分辨率、型号、系统版本、还有imei、有道词典把我保存的 WIFI 热点名称都 POST 到了服务器。

    img.png
    47 回复  |  直到 2017-10-16 20:36:20 +08:00
        1
    Hzzone   7 天前 via iPhone
    换 iOS
        2
    wangxn   7 天前 via Android
    看来苹果收紧控制不是坏事。
        3
    chen2016   7 天前 via Android
    虽然苹果是挺好用的,但是楼上有点因噎废食的感觉
        4
    janus77   7 天前   ♥ 3
    真巧,你也在网上冲浪啊
        5
    WuwuGin   7 天前 via Android
    别人都抓我不抓不是亏了。😌
        6
    panda1001   7 天前 via Android
    findle 还是抓 http,看 tcp 私有协议上传的可能更多
        7
    azh7138m   7 天前
    emui 也会上传设备信息,这是一个比烂的世界:(

    之前做小程序电脑开代理,就发现这些问题了
        8
    misaka19000   7 天前
    楼主火星了
        9
    xenme   7 天前 via iPhone
    所有的厂商都在收集各种信息。
    看到 qq 比较多的不一定是腾讯自己家的,还有其他地方用的腾讯的跟踪分析 sdk 的第三方厂商。

    iOS 也一样
        10
    bearqq   6 天前 via Android   ♥ 1
    你需要绿色守护
    抓包可以用 packet capture
    很多国内服务会上报私密信息
    上次抓包让我扔掉了即刻
        11
    AsherG   6 天前
        12
    coolcoffee   6 天前
    Android 好像可以不走系统默认代理吧
        13
    Nitroethane   6 天前 via Android
    手机的 phone unique id,网卡的 MAC 地址,位置信息,WiFi 相关的信息,这些信息基本上每个 APP 都会收集
        14
    wdlth   6 天前
    这就是传说中的的大数据、云算计……
        15
    pq   6 天前
    Android 的 ROM,除了未安装 gapps 的 LineageOS 之外,其它的,包括 Google 原厂镜像,都是 24 小时不停地上传隐私信息。LineageOS 如果装了国内任何 app,也会如此。。。
        16
    dearsting   6 天前
    所以没事还是少下 APP 吧,刷个港版系统用 Googleplay 会不会好一点?
        17
    fakeagent   6 天前
    卸载这些 app 还会有残留吗?
        18
    mozutaba   6 天前 via Android
    怎么都会有的,除非 app 不用三方 sdk
        19
    sobigfish   6 天前
    加一波上传服务器进 hosts (但有些不用额外域名的误伤大不好破)
    有人维护个么
        20
    fantasy467047   6 天前 via Android
    @pq Google 给你提供了选择权,你可以选择不上传。
        21
    jimliang   6 天前
    能关自启动就不关自启动…… miui9 路过……
        22
    jimliang   6 天前
    打错,把『不』去掉
        23
    JamesR   6 天前
    @sobigfish 直接禁止这些应用获取隐私数据即可。
        24
    mengyaoss77   6 天前
    @AsherG #11 借楼问下,这种图片怎么添加到微信的自定义表情里。。 手动添加图片会变小。。
        25
    zhishidahao   6 天前
    @bearqq 即刻怎么了
        26
    EricCartman   6 天前 via Android
    非国行,大厂手机才可信
        27
    AsherG   6 天前
    @mengyaoss77 #23 我也是手动添加,变小的。。。
        28
    bearqq   6 天前
    @zhishidahao #25 一样嘛,手机型号,系统,存储的 wifi,连接的 wifi,附近的 wifi,蜂窝网信息,cpu 信息,屏幕分辨率,酷安字样(即刻下载渠道)
    发送地址 ax1.xdrig.com ,拥有者北京腾云天下科技有限公司
    “ TalkingData (北京腾云天下科技有限公司)成立于 2011 年 9 月,是中国最大的独立第三方移动数据服务平台。2013 年完成千万美元 A 轮融资(北极光领投),2014 年完成 ...”
    多插一嘴,这个地址和即刻都架设在亚马逊中国 north-1 网段
    抓包时间 17 年 3 月 24
        29
    zjp   6 天前 via Android
    安卓上用 packet capture 可以看到是哪个应用的请求,也支持安装证书抓 Https
        30
    wenzhen   6 天前
    @jimliang 摁住
    已入坑 mix2
        31
    yksoft1   6 天前
    这不就是现在天天讲、月月讲的大数据嘛。
        32
    winglight2016   6 天前
    我可以负责任的说,大多数国产手机都是会在后台偷跑 http 请求的,之前在公司做 android APP 时,偶然用 any proxy 做数据转换,就发现了所有的测试机都会自动访问网络,大部分 APP 会在没有用户交互的情况下访问网络,而且是一看就与业务无关的,最多的请求就是带 baidu 字样的 url,似乎是个站长工具之类的网站
        33
    meisky6666   6 天前 via Android
    日常大法好
        34
    learnshare   6 天前
    所以只依赖 Google 会让自己安心很多,但不太可能
        35
    7id   6 天前
    转 WP
        36
    fyshita   6 天前
    ios 会不会也这样啊?
        37
    ltux   6 天前
    RMS 的话总是对的。
        38
    riggzh   6 天前
    安卓还有很多程序不走系统代理,你看到的只是一部分
        39
    harker   6 天前
    干嘛,你还想要所谓的隐私,别想了
        40
    wildcat007   5 天前
    你们忘了之前 coolpad 手机 静默安装 静默卸载的 事件了吗?
        41
    EmmaSwan   5 天前
    现在那些"智能家居"更可怕,搜集的信息简直核弹级
        42
    evwzhucxe   5 天前
    xp+应用变量
    设置成所有第三方 app 都用那个虚假的手机信息
        43
    nullizer   4 天前
    开发 APP 时集成了那些大厂的 SDK 后也会自动发送统计数据,有时候程序员自己都不知道
        44
    wm5d8b   4 天前 via Android
    楼主,应用程序没有界面也是可以运行的
        45
    woyaojizhu8   3 天前
    你以为互联网程序员那么高工资哪来的?
    那么多 app 不盈利还有人投资是为什么?
    还不是为了这些数据。
    这险恶的环境,也有你的一份力啊
        46
    woyaojizhu8   3 天前
    @wdlth 云算计 这个词用得妙
        47
    woyaojizhu8   2 天前
    @EmmaSwan 关键是这些“智能家居”漏洞更多吧,大量信息在收集过程中流向第三方
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   1807 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 71ms · UTC 13:06 · PVG 21:06 · LAX 06:06 · JFK 09:06
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1