V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
lvii
V2EX  ›  程序员

XCodeGhost 联想国内 android 市场二次打包 apk 花样替换广告,内嵌黑科技

  •  
  •   lvii · 2015-09-21 00:05:14 +08:00 · 6039 次点击
    这是一个创建于 3378 天前的主题,其中的信息可能已经有所发展或是发生改变。

    XCodeGhost 好凶残啊 google play 最近也闹着要回归祖国。

    国内的 android 市场可谓是 泛滥 了。。。平时下载好玩的安卓 app 可谓凶残啊,从国内市场下载真是拿 节操做赌注 啊。国内的安卓市场的 APK 文件 来历 真不好追究,特别是某些非主流的( instagram 小姨子最爱):

    1. APK 文件多是盗来盗去,来源来自 国内某某市场
    2. APK 二次打包:广告链接换成我的,这都算是仁慈的了。有没有 植入 黑科技,想我都石更了。。。
    3. 文件木有 hash ,木有提供任何 校验
    4. google 自己的市场就这样破罐子破甩。。。

    为了防止世界被破坏,为了守护世界的和平;贯彻爱与真实的邪恶,可爱又迷人的反派角色:穿梭在银河的 国家队 已经对某些 APP 二次打包,植入监控所谓的坏淫的程序了。

    可我的 小姨子,七大姑八大姨什么的。某些同事们都还是 android 阵营呢。。。

    40 条回复    2015-09-28 12:43:26 +08:00
    jkjoke
        1
    jkjoke  
       2015-09-21 00:15:34 +08:00
    以前写的一个小应用原来只发到百度市场上,然而一段时间过后联想乐商店, 360 , hiapk 等等都出现了,甚至还有冒名上传的,还有不懂怎么去了亚马逊应用商店的。。。
    miyuki
        2
    miyuki  
       2015-09-21 00:27:40 +08:00 via Android
    @jkjoke 太 6 了……
    shippo7
        3
    shippo7  
       2015-09-21 00:44:59 +08:00 via iPhone
    国内 iOS 和 Android 安全问题的根源还是天朝特色互联网环境,一个是开发者不方便从官方渠道下载 Xcode ,另一个是 Google Play 无法入华,第三方软件渠道混乱
    honeycomb
        4
    honeycomb  
       2015-09-21 03:27:09 +08:00 via Android
    可是 android 应用的更新依赖签名呀
    hinate
        5
    hinate  
       2015-09-21 06:50:33 +08:00 via Android
    在各个 app 的官方下载,问题还是比较少的
    spl2015
        6
    spl2015  
       2015-09-21 06:58:47 +08:00 via Android
    把 unknown sources 关掉即可
    ToysMall
        7
    ToysMall  
       2015-09-21 07:35:56 +08:00 via iPhone
    归根结底 gfw 的错
    LuoKaiLi
        8
    LuoKaiLi  
       2015-09-21 08:12:49 +08:00
    大家在国内 Android app 都在哪里下载放心?酷安市场如何?
    fengyqf
        9
    fengyqf  
       2015-09-21 08:50:41 +08:00 via Android
    官方网站下 apk
    kikyous
        10
    kikyous  
       2015-09-21 08:52:29 +08:00
    小米市场还不错,也不会安装什么 app ,手机上就那几个
    skylancer
        11
    skylancer  
       2015-09-21 09:17:34 +08:00
    @LuoKaiLi 据说酷安也有相当一部分应用的签名和官方不符,即使是免费应用
    loveminds
        12
    loveminds  
       2015-09-21 09:28:11 +08:00
    @hinate play 才算官方吧,或者类似 Flyme store 这样
    cskeleton
        13
    cskeleton  
       2015-09-21 09:29:58 +08:00
    自从 1.x 还是 2.x 的时候,那个年代还能用 GoogleMaps ,我在某市场下了 3 个不同还能共存的 GoogleMaps ,就吓尿了。。后来无论如何都是去官方市场下的了
    dreamtrail
        14
    dreamtrail  
       2015-09-21 09:36:33 +08:00
    从来都觉得第三方不靠谱,所以我只从 google play 下载
    stupil
        15
    stupil  
       2015-09-21 09:54:08 +08:00
    看来国产市场要进行那啥了。
    windyboy
        16
    windyboy  
       2015-09-21 10:18:49 +08:00
    ios 不安全,开始黑 apk
    这是什么心态
    skyreal
        17
    skyreal  
       2015-09-21 10:34:29 +08:00
    凭良心将 ios 和 Android ,我个人觉得还是 ios 靠谱些。
    ch3n2k
        18
    ch3n2k  
       2015-09-21 10:35:44 +08:00
    android 不安全已经不是新闻了, ios 不安全才是新闻
    hei1000
        19
    hei1000  
       2015-09-21 10:40:51 +08:00
    "google play 最近也闹着要回归祖国。"是什么鬼
    mengzhuo
        20
    mengzhuo  
       2015-09-21 10:43:50 +08:00 via iPhone
    各种安卓平台拆我司游戏的包
    还植入他们自己的广告
    植入恶意代码的就更多了( ̄▽ ̄)
    逼得我司各种校验各种证书

    ios 最多是越狱用户而已 然后统统关小黑屋
    imn1
        21
    imn1  
       2015-09-21 11:00:36 +08:00
    从 play 按装了 google ,刚装完,国内市场就提醒“更新”了(居然显示版本比 play 还新),误点了更新,更新完毕就立即显示“ google 已停止服务”……

    google play 最近也闹着要回归祖国?美国没有 google play 么?
    slixurd
        22
    slixurd  
       2015-09-21 11:07:44 +08:00
    @honeycomb 最大的问题就是因为不上 Google Play ,所以从一开始在国内市场下载的应用签名就是自己随便生成的。反正包名谁都可以用。
    nealfeng
        23
    nealfeng  
       2015-09-21 11:50:18 +08:00
    虽然楼主说的问题值得关注,但最好能同时付上证据啊
    Bown
        24
    Bown  
       2015-09-21 11:59:16 +08:00
    保证第一次安装的是原装正版,后面升级有签名校验就没太大问题..
    那么问题就是如何保证第一次安装的是正版..
    neo2015
        25
    neo2015  
       2015-09-21 12:05:09 +08:00
    如果签名不对,我们的 APP 根本就跑步起来。在 SO 里写了加密请求,验证应用签名
    iShao
        26
    iShao  
       2015-09-21 12:08:08 +08:00
    只从 Google play 下载, 但即使这样, app 内部自带更新也最终把版本换了, 尤其是阿里系的
    hinate
        27
    hinate  
       2015-09-21 12:10:43 +08:00 via Android
    @loveminds 比如支付宝,在支付宝官网下载的也算官网的及官方网站(我自己认为的)
    iv2ex
        28
    iv2ex  
       2015-09-21 14:24:59 +08:00
    我觉得顺便应该要黑一下 Windows 吧 随便从哪个下载站都能随便下点软件
    而且百度这样的大厂的软件出厂自带全家桶
    wdlth
        29
    wdlth  
       2015-09-21 14:29:46 +08:00
    @honeycomb 签名不对,市场还可以说官方的是盗版……
    cyberdak
        30
    cyberdak  
       2015-09-21 14:32:26 +08:00
    @atearsan mac os x 大概不能下载软件?
    jeremaihloo
        31
    jeremaihloo  
       2015-09-21 15:22:35 +08:00 via Android
    你们这回答和我知道的不一样,现在有个产业链是盗版安卓,你在一个市场发布软件之后,有人就会把你的重新搞一搞,然后再其他市场提交,用来盈利,每个市场都有相关的应用认领机制,也就是说你如果在某个市场发现了你的应用的盗版,你可以申诉认领,一般大部分的市场会要求提供你应用的 google play 的相关信息,作为验证,我记得两年前的情况是这样的,不知道现在怎么样
    PP
        32
    PP  
       2015-09-21 15:29:14 +08:00 via iPad
    相比 GFW 来说国内环境不保护知识产权才是安卓乱象的根本症结。
    iv2ex
        33
    iv2ex  
       2015-09-21 16:58:12 +08:00
    @cyberdak 楼主说 Android 环境乱嘛 不安全嘛 按照这逻辑 Windows 也如此了 怪 Android 咯? 鱼和熊掌想兼得 那那么多完美的事 (相比你朋友的 Android 手机, 你难道更能忍受看到他们的电脑开机各种自启动各种弹窗各种静默诱导安装?)

    == 这是之前的理解 ==

    不过楼主说了是吐槽专业盗版的产业链 那是我们都理解错了 这个另说了
    liword
        34
    liword  
       2015-09-22 08:00:39 +08:00
    @PP 安卓乱象的根源也是墙。国内不保护知识产权的根源也是墙的主人。
    PP
        35
    PP  
       2015-09-22 08:30:37 +08:00 via iPad
    @liword 墙建立起来之前,各种盗版、各种捆绑满天飞,所以说核心原因是不保护知识产权。
    zhangbody
        36
    zhangbody  
       2015-09-27 12:39:02 +08:00
    我也是第一时间想起二次打包, play store 应该回来。
    liword
        37
    liword  
       2015-09-27 18:58:07 +08:00
    @PP 墙建立起来之前各种盗版捆绑满天飞的根源是墙的主人也就是某派对,根据你的智商我再说具体一点,在墙建立起来之前公安局基本不受理和调查任何知识产权侵权案件的原因是某派对。
    PP
        38
    PP  
       2015-09-27 19:21:43 +08:00 via iPad
    @Livid 向您投诉 @liword 在讨论中攻击他人。
    Livid
        39
    Livid  
    MOD
       2015-09-28 09:00:45 +08:00 via Android
    @PP 收到,我看了他的回复记录,已经 Deactivate
    PP
        40
    PP  
       2015-09-28 12:43:26 +08:00 via iPad
    @Livid 谢谢!辛苦了!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1109 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 23:00 · PVG 07:00 · LAX 15:00 · JFK 18:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.