V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
sunyang
V2EX  ›  问与答

看到好多用安卓的小伙伴各种幸灾乐祸,我忍不住想说几句

  •  
  •   sunyang · 2015-09-18 22:48:15 +08:00 · 5585 次点击
    这是一个创建于 3362 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我想问一句,国内开发安卓的有多少用的是所谓好心人分享的破解版的,汉化版的开发工具?
    安了多少个不知道来源的第三方插件?(那种打包好的,或者 XX 网盘下载的)。以安卓 App 那种吓死人的权限,这种问题细思恐极。不敢深想。

    74 条回复    2015-09-25 22:55:46 +08:00
    kslr
        1
    kslr  
       2015-09-18 22:53:08 +08:00 via Android
    这个社区大部分人都不会没有这种意识吧。盗版破解更是被禁止分享的。
    pwinner
        2
    pwinner  
       2015-09-18 23:10:44 +08:00 via Android
    除非 Android 的 IDE 出问题不然我还是相信 play market 的
    我自认为还是比较重视这方面。。至少删光了所有国内市场并用 xprivacy 控制权限
    akagi
        3
    akagi  
       2015-09-19 00:12:25 +08:00
    一般来说还是用注册机比较好吧 风险相对小些
    akagi
        4
    akagi  
       2015-09-19 00:13:35 +08:00
    另外就说看看 Chrome 里安了多少高权限的插件就~
    myang
        5
    myang  
       2015-09-19 01:28:39 +08:00   ❤️ 3
    安卓 app 有吓死人的权限,也就意味着有 app 可以用吓死人的权限,去限制其他 app 那吓死人的权限,这就是安卓开放的好处,比苹果安全多了。
    tracyone
        6
    tracyone  
       2015-09-19 01:36:00 +08:00 via Android
    咬我?哈哈
    bibizhang
        7
    bibizhang  
       2015-09-19 04:16:31 +08:00
    我用安卓,可是并没有幸灾乐祸。
    WildCat
        8
    WildCat  
       2015-09-19 07:14:33 +08:00 via iPhone
    @myang 这逻辑真好,你周围的人都装那些限制权限的 App 吗?
    twl007
        9
    twl007  
       2015-09-19 07:32:08 +08:00
    @myang 谁来限制那用来限制吓死人权限的软件的吓死人的权限的软件的权限
    stevegy
        10
    stevegy  
       2015-09-19 07:32:12 +08:00 via iPhone
    首先,要买一个可刷 CM 系统的机器,例如,三爽, moto , lg 之类的,查一下 cm 的支持列表。然后刷机, cm 系统自带 selinux ,目前有最新的 android 源代码更新,相对来说还是比较安全的。其次,最麻烦的还是市场, app 安全性真的很重要,哎。。。
    ljbha007
        11
    ljbha007  
       2015-09-19 07:43:36 +08:00
    最可怕的是 很多人 root 了 而且很多软件有 root 权限
    你再想想国内这些公司有多不要脸
    想想就后怕
    AmberBlack
        12
    AmberBlack  
       2015-09-19 07:47:33 +08:00
    争论这些没一点意义,还会伤感情。
    msg7086
        13
    msg7086  
       2015-09-19 08:04:15 +08:00   ❤️ 1
    Windows 用户默默地看着你们。
    initialdp
        14
    initialdp  
       2015-09-19 08:07:59 +08:00
    我用的是 Q 家的软件市场,不会有什么问题吧?现在心里很忐忑啊。。
    Biwood
        15
    Biwood  
       2015-09-19 08:12:51 +08:00 via Android
    所以我一直用 Google Play 安装应用,要不就从官网下载,这样风险就小很多
    GKLuke
        16
    GKLuke  
       2015-09-19 08:16:23 +08:00
    手机木马出的最多的是 android 我会乱说么
    davidyin
        17
    davidyin  
       2015-09-19 08:21:08 +08:00
    只用 Google Play 市场。
    cnZary
        18
    cnZary  
       2015-09-19 08:51:48 +08:00 via Android
    @GKLuke 压根没开未知来源
    holmesabc
        19
    holmesabc  
       2015-09-19 09:30:31 +08:00
    玻璃心
    SNOOPY963
        20
    SNOOPY963  
       2015-09-19 11:31:29 +08:00
    目前 Play 市场下的基本没问题的。从攻击成本考虑还没必要用从编译器入手的程度,国内安卓用户还是歇歇吧。
    SNOOPY963
        21
    SNOOPY963  
       2015-09-19 11:32:31 +08:00
    非 Play 下载都会被电信劫持成应用宝的……国内安卓有什么话好讲的。。。
    kx5d62Jn1J9MjoXP
        22
    kx5d62Jn1J9MjoXP  
       2015-09-19 11:47:37 +08:00 via Android
    你倒是给我找个破解版 or 汉化版的 Android studio 来看看啊
    sunyang
        23
    sunyang  
    OP
       2015-09-19 11:51:51 +08:00
    @ssynhtn 百度搜 andriod studio 汉化 第二个链接就有安全问题,打不开。你可以试试。
    x86
        24
    x86  
       2015-09-19 11:58:20 +08:00
    安卓的权限就不说了,懂得都懂
    imn1
        25
    imn1  
       2015-09-19 12:14:54 +08:00   ❤️ 1
    从来不会幸灾乐祸,自从看到“几天撸了个 APP ”那天起,我就未安心过
    以前光内测都要 10 工作日以上的时代不复存在
    用某节目里面的一句话“好像谁都能当歌手……”
    我所能做的就是新机允许不可信来源,先从 git 下下 ss ,然后挂上,卸载预装的 google 和 play ,关闭国内市场,禁止不可信来源,进入 play 重装一次 google 系和必要的权限管理 app …… 其他的就担心不来了,如果官方 store 上的产品都中招,那可能要等“好像谁都能当质检……”才能安心了
    kx5d62Jn1J9MjoXP
        26
    kx5d62Jn1J9MjoXP  
       2015-09-19 12:54:35 +08:00 via Android
    @sunyang 汉化包还真的存在啊,我以为做软件开发的就算英文水平不高,看懂菜单什么的还是没问题的,至少网易云音乐的开发不会去下载这种汉化包吧。不过我看了一下,汉化包只是添加 resource 文件,不会对 app 安插多余代码。
    实际情况是,你尽可以去想象类似 xcodeghost 一样的 studioghost 存在,可是实际情况它就是不存在,所以你的想象目前只是 fud 。这种类似木马的东西,针对 xcode 了那就算 xcode 被盯上了,算它倒霉。
    这件事情对我来说唯一的启示是, app store 的审核, app store 的所谓安全,就目前来看,闹了一个大笑话。
    Syaoran
        27
    Syaoran  
       2015-09-19 12:57:40 +08:00 via iPhone
    windowsphone 表示沉默😔
    luoway
        28
    luoway  
       2015-09-19 13:01:41 +08:00 via Android
    你们技术猿考虑得真深。
    于我们 root 党而言,我们对于使用的 root 工具有“盲目”的信心、对使用的“管家”有盲目的信心。
    与出事就对整个领域失望的人相比,我们就像有个秘密,只告诉自己信任的人。虽然秘密说出来就不是秘密了,但是出了事我们有“人”分担责任,对秘密泄露的恐惧也安心几分。
    所谓“常在河边走,哪有不湿鞋”,除非不上网,不,现在离线也有窃取信息的技术,你敢说你信任并采用的那些保护隐私的方式万无一失?

    不 root 是相信系统,大神手机系统预装带毒;
    root 是相信应用,而智能手机往往是应用带毒。
    root==裸奔==中毒?那你得赶紧装个数字压压惊
    kx5d62Jn1J9MjoXP
        29
    kx5d62Jn1J9MjoXP  
       2015-09-19 13:04:57 +08:00 via Android   ❤️ 1
    “安卓 App 那种吓死人的权限”,从个人隐私角度讲这是一种广泛流传的经不住推敲的说法。
    因为一个 Android app 在一台没有 root 的设备上,它能获取的信息只有设备信息, app 自己的数据, SD 卡上的公开数据,和通过 content provider 公开的数据,最后这一条包括联系人信息等“隐私信息”。
    当你安装一个要读取联系人的 app ,本质上你信任 app 开发者,你说你害怕腾讯和新浪拿你的联系人信息做什么见不得人的事或者让你暴露隐私的事情?如果你真的不信任你不会安装,你会像对待任何来路不明的 app 一样不置一顾。
    最重要的是,这些信息并没有被第三方插入的代码获取,这是本质区别。
    kava
        30
    kava  
       2015-09-19 13:06:16 +08:00 via Android
    没看到谁幸灾乐祸啊。。
    怎么事情还没完又开始分阵营了。。
    安全问题最终还人的问题啊
    我用了几年安卓,基本上只装 play 的和官方的,感觉还好
    sunyang
        31
    sunyang  
    OP
       2015-09-19 13:07:12 +08:00
    @luoway 数字当年可是麦芽地背后的黑手,现在这次事件跟数字有没有关系还不好说。毕竟手法太熟悉了
    sunyang
        32
    sunyang  
    OP
       2015-09-19 13:09:41 +08:00
    @kava 我在另外几个帖子看见了
    @ssynhtn 一个手电筒要读取联系人的权限,还不叫吓死人吗?
    xiaozuo
        33
    xiaozuo  
       2015-09-19 13:35:28 +08:00 via iPhone
    @ssynhtn 然而病毒能偷偷给你静默 root 了
    kx5d62Jn1J9MjoXP
        34
    kx5d62Jn1J9MjoXP  
       2015-09-19 13:38:46 +08:00 via Android
    @xiaozuo 病毒能 root 手机我是没听说过, Linux 的安全性有那么弱吗
    dahvlh
        35
    dahvlh  
       2015-09-19 13:42:17 +08:00
    那 lz 就去对那些小伙伴说呗
    greendyj
        36
    greendyj  
       2015-09-19 13:48:37 +08:00 via Android
    @xiaozuo 请务必告诉我什么病毒能 root ?好多官方不给解锁 bootloader 的机有希望了!
    quericy
        37
    quericy  
       2015-09-19 14:08:40 +08:00
    我也幸灾乐祸一个~~~~哦,我不是安卓,我是 1% ......对,就是那个连黑阔和国内厂商都不正眼看一眼的 WindowsPhone
    cyberdak
        38
    cyberdak  
       2015-09-19 14:11:32 +08:00
    @xiaozuo 求这个病毒
    我的华为一直找不到 root 的工具,还有能静默 root 的吗
    chengzhoukun
        39
    chengzhoukun  
       2015-09-19 14:19:07 +08:00
    国内 Android 本来就乱,没什么好说的,所以尽可能选择国外大厂、或者 CM 之类 ROM , Android4.4 ~ 5.1 开启隐藏的 app ops , 6.0 开启权限管理
    breaklayer
        40
    breaklayer  
       2015-09-19 14:19:26 +08:00
    没看到谁幸灾乐祸,就看到你污蔑 android 了,呵呵
    lawder
        41
    lawder  
       2015-09-19 14:39:40 +08:00
    @akagi 关于 Chrome 插件的权限我想问一下,比如像 ADBlock 这种声明了“读取和更改您在访问的网站上的所有数据”,是不是帐号密码输入框的数据也随便读?
    ybh37
        42
    ybh37  
       2015-09-19 14:55:55 +08:00
    android 静默状态完全 root 还是有难度的,但是经过各大厂商对系统的“优化”,这事儿难说。
    绕开权限约束,静默获取一些敏感数据相对要简单一些。
    xiaozuo
        43
    xiaozuo  
       2015-09-19 15:44:23 +08:00 via iPhone
    xiaozuo
        44
    xiaozuo  
       2015-09-19 15:44:46 +08:00 via iPhone
    xiaozuo
        45
    xiaozuo  
       2015-09-19 15:46:42 +08:00 via iPhone
    恶意代码首先向服务器 http://api.aedxdrcb.com/ggview/rsddateindex 发送手机的型号等配置信息。随后从服务器端获取 Root 工具包 http://down.upgamecdn.com/onekeysdk/tr_new/rt_0915_130.apk 。该 Root 工具包利用手机存在的漏洞,获取手机的 Root 权限。目前可以适配上万种机型,成功执行 Root 提权操作。

    接上,上万机型哦
    aku
        46
    aku  
       2015-09-19 15:49:45 +08:00 via Android
    ybh37
        47
    ybh37  
       2015-09-19 15:50:11 +08:00
    @xiaozuo 你赢了~
    yexm0
        48
    yexm0  
       2015-09-19 15:54:28 +08:00
    继续吹吧..还上万机型.
    xiaozuo
        49
    xiaozuo  
       2015-09-19 15:56:05 +08:00 via iPhone
    @yexm0 要问问猎豹有没有吹了,代码现在找估计还能找到.
    xiaozuo
        50
    xiaozuo  
       2015-09-19 15:56:41 +08:00 via iPhone
    @ybh37=_=
    huobazi
        51
    huobazi  
       2015-09-19 16:21:09 +08:00
    用 android 在各种非官市场、论坛、网盘 下 app 的 早都是裸的了。。。
    mengzhuo
        52
    mengzhuo  
       2015-09-19 19:04:39 +08:00
    不应该问问为啥有墙么?
    秀优越感的秀逗了吧
    sunyang
        53
    sunyang  
    OP
       2015-09-19 19:27:29 +08:00
    @mengzhuo 然而这个问题并不适合在这里讨论。
    @yexm0 还真有可能,很多山寨机的方案都是通用的。
    lanlanlan
        54
    lanlanlan  
       2015-09-19 19:30:16 +08:00
    Wp 表示:你们说啥 说啥 你们在说啥 <wu
    akagi
        55
    akagi  
       2015-09-19 19:37:51 +08:00
    @lawder 个人不敢肯定 只找到了这个 仅供参考 http://www.zhihu.com/question/27068368
    kx5d62Jn1J9MjoXP
        56
    kx5d62Jn1J9MjoXP  
       2015-09-19 19:58:27 +08:00 via Android
    @xiaozuo 这个消息昨天才发布,一点波澜都没有,没注意到很正常啊,毕竟我也没被这个病毒困扰。
    我会关注这个消息的,目前它好像没有引起什么关注,也不知道是什么情况。
    不过我的立场是不会改变的,第一,没有 root 的 Android 手机
    kx5d62Jn1J9MjoXP
        57
    kx5d62Jn1J9MjoXP  
       2015-09-19 20:04:09 +08:00 via Android
    接上,没有 root 的 Android 手机不存在隐私问题。
    第二,静默 root 我现在是听说了,这种事情如果是真的,那明天 iPhone 也一样有被静默越狱的风险。唯一能做的就是不要安装来路不明的 app 了,这在任何平台都是如此,除了那些有大量官方 app 被插入第三方代码后在官方市场发布和被下载的平台之外。
    xiaozuo
        58
    xiaozuo  
       2015-09-19 20:05:15 +08:00 via iPhone
    @ssynhtn 不关注业界只是个玩笑的说法,只是一个侧面说明 root 不 root 对病毒来说,不是事儿
    xiaozuo
        59
    xiaozuo  
       2015-09-19 20:07:10 +08:00 via iPhone
    @ssynhtn 额,越狱和 root 难度差距好大呢,一个越狱漏洞黑市价格能值 100 万,静默越狱的价值更不可思议了。
    kx5d62Jn1J9MjoXP
        60
    kx5d62Jn1J9MjoXP  
       2015-09-19 20:12:20 +08:00 via Android
    @xiaozuo 怎么会不是个事儿?我就不班门弄斧了,希望这边有谁对 Linux 安全问题有了解的可以发表一下意见
    kx5d62Jn1J9MjoXP
        61
    kx5d62Jn1J9MjoXP  
       2015-09-19 20:19:03 +08:00 via Android
    @xiaozuo 静默越狱不比静默 root 难或简单。你用越狱漏洞的市场价能说明什么,说明 iPhone 上一堆绑定的信用卡信息很值钱么?
    xiaozuo
        62
    xiaozuo  
       2015-09-19 20:19:18 +08:00 via iPhone
    @xiaozuo 我估计这个 root 的包早被黑产的研究透了。
    xiaozuo
        63
    xiaozuo  
       2015-09-19 20:21:00 +08:00 via iPhone
    @ssynhtn root 确实比静默越狱简单很多,市场价说明别人根本没必要偷偷摸摸做黑产,随便一百万到手了,还不需要维护
    kx5d62Jn1J9MjoXP
        64
    kx5d62Jn1J9MjoXP  
       2015-09-19 20:26:07 +08:00 via Android
    @xiaozuo 对你这说法我只能说, horse shit
    张口就来。
    谢谢你提供的那个猎豹的链接, but 显然我们没有必要讨论下去了。
    xiaozuo
        65
    xiaozuo  
       2015-09-19 20:42:08 +08:00 via iPhone
    @ssynhtn 我觉得这些常识性的东西,你觉得是 shit ,我也觉得没必要探讨下去了,我和俄罗斯的一些黑产团队有业务联系,最少他们都认为越狱难度很大,能搞定完美越狱在圈子内绝对是荣誉, 100 万也毫无夸张成分
    lawder
        66
    lawder  
       2015-09-19 21:15:05 +08:00
    @akagi 多谢。回头研究下。不经常用的插件还是停用好,要用的时候临时启用。
    dahvlh
        67
    dahvlh  
       2015-09-20 11:09:07 +08:00 via iPad
    求地址围观幸灾乐祸 V2EX 上貌似一个都没
    kx5d62Jn1J9MjoXP
        68
    kx5d62Jn1J9MjoXP  
       2015-09-25 02:29:10 +08:00 via Android
    @xiaozuo
    bump
    你贴的这个新闻现在已经有一段时间了,我已经十分确定是个假消息,目的是推广猎豹的杀毒软件。
    不过我没有证据证明它是假的,我的理由很简单,这事要是真的猎豹早就上窜下跳在外媒上博眼球了。
    不过谁立论谁举证,这新闻说了半天连个能让我重现静默 root 的方法都没提供,我还真没办法证明它是假新闻。
    xiaozuo
        69
    xiaozuo  
       2015-09-25 07:45:51 +08:00 via iPhone
    @ssynhtn 你这推导真够有意思,猎豹要推广他的杀毒软件,却又不去博眼球?

    那我再发一个 http://www.freebuf.com/news/79460.html

    没静默 root ,但是突破了 G play 商店
    kx5d62Jn1J9MjoXP
        70
    kx5d62Jn1J9MjoXP  
       2015-09-25 10:31:17 +08:00
    @xiaozuo 是的,因为它只能在国内跳跳脚,国外它玩不起,国际上它的名声已经够差的了,出人意外的差。
    你再发的这个全文没有 root 字样,不要扩大讨论范围哦,我可没有说 Android 平台无法制作木马和病毒。
    kx5d62Jn1J9MjoXP
        71
    kx5d62Jn1J9MjoXP  
       2015-09-25 10:35:21 +08:00
    @xiaozuo
    接上,并且我也没说 Google play 上不可能出现木马和病毒,这种事情,即使每个 app 人工审核也做不到, app store 提供了很好的案例。
    xiaozuo
        72
    xiaozuo  
       2015-09-25 11:35:53 +08:00
    @ssynhtn 猎豹国外玩不起,这个是我今天听过最好笑的笑话了。猎豹在国外众多国家的 Play 商店一直都是排名第一的好吧,猎豹的市值全靠全球市场在支撑好吧。发全文给你说病毒能 root ,你不信,说假的,那你赢。

    我发那个链接,其实是因为里面有一句重点的:即便受害者删除了该 app ,只要设备重启,它还会继续出现。也就是说,受害者只用通过其他更为复杂的方式(比如刷机)才能从根本上删除它。

    这个技术难度实现起来,比静默 root 难多了,我看你是否宁愿相信 google play 攻破,却不相信手机能被静默 root 而已。
    kx5d62Jn1J9MjoXP
        73
    kx5d62Jn1J9MjoXP  
       2015-09-25 22:36:42 +08:00 via Android
    @xiaozuo 呵呵,你以为我不知道猎豹在国外是个什么情况,和 360 在国内一样,小白喜欢,在 reddit 和 Google plus 技术区都是被唾弃得要死。快图被猎豹收购就闹出不小波澜。
    全文给我说我就要信,当我是小白呢,这件事情我赢定了,静默 root 你要是给我做出来那 linus 可以退休了。
    xiaozuo
        74
    xiaozuo  
       2015-09-25 22:55:46 +08:00
    @ssynhtn 呵呵,既然知道和 360 一样,还敢说别人在国外玩不起,国外大部分用户来说,猎豹的名声也很好好吧,别只用短缺的技术思维看世界。

    静默 root 我是不想写,你自己想想 root 软件是否一定需要 GUI,没 GUI 能不能运行不就懂了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1131 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 18:13 · PVG 02:13 · LAX 10:13 · JFK 13:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.