实锤某毒瘤公司所开发的APP的流氓行为
某公司说我恶意抹黑拿不出证据,那我今天倒是要把这个一年前的回答好好补充全证据!
明天就考试,但我就不复习!就是要和毒瘤对抗到底!
本文一切内容真实可复现!如果你复现不出来请告诉我你的设备环境,我会尽可能协助你复现结果
由于我是苏州人,我就取这家毒瘤公司为苏州地铁开发的app做例子吧
我们从苏e行-小米应用商店下载安装包,并截图小米商店网页的版本号和更新时间
得到58.42M安装包一个
记录文件校验,以确保这是一个完整的文件,
为了确保没有任何其他APP干扰,我准备了一个全新的炼妖壶环境,可以看到炼妖壶里除了系统必须的谷歌套件外只有一个mt管理器,而且存储空间内啥也没有非常干净
我们把安装包安装到炼妖壶
证明环节1:滥用权限
直接打开app,同意用户协议,但拒绝电话和文件权限请求(这个app用来刷地铁,显然这两个权限和该app必须功能没有任何关联)
ps:非常有意思的是,进入主界面后的位置权限拒绝了没什么后果
可明明位置权限倒是比电话权限有用114514倍啊
证明环节2:滥用后台
我们同意权限(反正壶中界,非常安全),进入app,过掉开屏后直接按下桌面按钮
可以看到弹出了该app在后台运行的toast
当然,可能有人要问了,我就弹个toast不能充分证明我在后台运行啊
所以在进入后台后,我打开终端
用top命令查看cpu占用,发现占用了2.3%(top只显示单核cpu占用,即占用一个核心的2.3%,和windows端任务管理器显示的全核占用有所区别请特别留意)
可能还有人会问,刚切入后台当然有占用,那么我们过几分钟去设置里看看
正常返回桌面5分钟左右之后我们打开该app设置页面的电池页面
足足运行了两分钟才被系统休眠(我系统设置全部禁止自启动禁止后台活动),显然是做了保活的
你一个刷地铁的app,有什么后台存活需求么?进出站刷一下不就够了?
证明环节3:全包加固
##
之前写那个回答的时候还是360加固,现在改用网易了
nesec.so,非常典型的网易加固,没法洗
证明环节4:32位
armeabi,铁32位,还tm是没neon的v5时代,山顶洞人么?
我检查过所有so文件了,都有对应64位sdk可以接入,没屎坑问题,那就是单纯的坏了
当然你硬要举例哪里上64位有屎坑难度尽管告诉我,我能解决的屎坑实在不行你交给我解决
证明环节5:X5 Webview
公共存储data目录,圈红均为实锤X5证据
还有这个service,洗不了
证明环节6:存储脱粪+证明环节7:使用个推推送
原本干净的壶中界,多了好多东西呢!
.tbs,QQBrowser,tencent都是接入X5带来的
turingdebug似乎也是X5的锅
bwtCashierSDK和bwton是这个app自己脱粪的,理应放在私有data目录
libs是个推SDK,个推老毒瘤SDK了这个libs文件斩草不除根春风吹又生,知乎也有,所以我现在禁止知乎写入存储
加起来体积不大,但是污染公共存储确实是毒瘤行为
所有不需要共享的数据,请务必存储于data目录,为了存储整洁,也为了数据安全
表扬时间
一个一年前发现但当前已被修补的问题是SDK版本过低,当时不同的app分别为22或26,目前已被提升到28,该表扬的我也绝对不会少表扬,但是目前最新的应该是30咯!
总结
一年前写的回答到此已全部给出充分证据实锤
如果该公司仍然认为我是在恶意抹黑请拿出充分证据,如果该公司坚持我是同行,那也请拿出充分证据
本文全部证据均使用合法的工具软件取得,没有通过任何反编译手段进行
我的证据列完了,请反击或认输,我愿意奉陪到底
我不是该行业从事人员,我只不过是个学制药的大二学生,我对科技和程序只不过是兴趣爱好罢了,但我仍然坚持为更美好的软件生态贡献自己的力量
##
小彩蛋
经典打包事故,把网易加固的SDK jar文件也给打包进去了,还有那个aapt文件夹也不用打包
