home > about > 感慨 >

支付宝好可怕,偷拍!万一不小心啪啪时候被偷拍了?!

author:zhoulujun@live.cn    hits:

支付宝辟谣了,简单翻译成浅显易懂的话:1 我们用这些功能是合理的 2 我们已经云端关掉了,你们找不到证据 3 我们下个版本去掉这个功能 4 你们要信我 5 再BB就搞你 好可怕,我还是不参与

逆了一下支付宝,支付宝会在启动的时候从服务器上动态下载代码(一个.so)文件,加载之后,还会在这个 so 文件的资源区段解压出一个 dex 文件,用 classloader 加载并执行,整个支付宝很大一部分都是动态加载的。。。应该先找证据再发推的。。服务器上一撤证据就gg了
这样想想 ,支付宝强行做社交,合法的获取拍照录音权限,获取用户的社交关系网,还有之前检测到 xposed 让卸载,也是不难理解了
支付宝证据





startPreview 会开启摄像头,就是你拍照之前的相机的那个预览画面。

setPreviewDisplay 是设置预览的 view,他可以设置成一个1x1像素的区域,也可以搞个透明的悬浮窗?(未测试),也可以瞬间拍完了就隐藏。

setPreviewCallback 参考文档 developer.android.com/r

Installs a callback to be invoked for every preview frame in addition to displaying them on the screen. The callback will be repeatedly called for as long as preview is active. This method can be called at any time, even while preview is live. Any other preview callbacks are overridden.

参数是 a callback object that receives a copy of each preview frame

也就是说,他不需要调用 takePicture() 函数,也就不会在那些必须带有拍照声音的手机上出现声音。
通过读取拍照预览画面的缓冲拿到 bitmap ,这个 bitmap 就是摄像头正在捕获的内容。



 
支付宝的 so 文件 其实是假的 so,根本就是一个完整的 APK,里面五脏俱全,也就是说支付宝是直接动态加载 APK 的。。。。千真万确以及半夜打开支付宝手机有咔嚓声的版本是 7 月的版本,我一个朋友的电脑里面还留着当时讨论这个声音的聊天记录。当时那个版本是通过支付宝自己的渠道推送更新的,所以应用市场里面也没有,第二天就被更新掉了。。。目前还没有找到。。。如果大家也对那个版本有印象并且保存了的话,可以传 APK 上来,或者录个像,就有铁证了。支付宝没有对这个版本进行热修复拍照声,说明在这个版本中,拍照的功能是残留在应用代码里面的,而不是云端动态加载的代码,只要能找到这个版本,就能找到具体的拍照代码。
 
安卓上的软件并不需要预先申请权限,当安卓手机弹出申请摄像头权限窗口时,软件已经在尝试打开摄像头了。打个比方,安卓上的权限就像房子的一扇一扇门,这些门在房子建好的时候(软件安装成功)已经固定下来了。一般情况下,当房子建好之后,这些门都是打开的,房子里的人(软件本身)可以随意经过这些门,进入门另一端的房间拿取东西(比如进入短信软件里询问短信数据)。权限管理工具则给有些门上了锁,只有当房子里的人试图穿过这些门时,权限管理工具才会拦截它,如果被允许,则放行,如果被拒绝,则告诉房子里的人,你不能过去。

Anyway,这真的不是在为苹果打广告,我用的也是 Android 手机,我也是可能的潜在受害者。支付宝已表态“偷听录音纯属造谣”,我也就信了。因为除了说一些“提高警惕”、“不要从奇怪商店下载应用”的空泛话,


支付宝的混淆实在是太好了,完全找不到强有力的证据,只能从硬件使用情况,一些 remote config file 和网络流量来判断:支付宝安卓版每隔X分钟(服务器指定)会在后台开启摄像头拍照,录音X秒,然后上传到服务器上,同时也会有通讯录,通话记录,附近基站和 WI-FI 等信息


支付宝辟谣了,简单翻译成浅显易懂的话:1. 我们用这些功能是合理的 2.我们已经云端关掉了,你们找不到证据 3.我们下个版本去掉这个功能 4. 你们要信我 5. 再BB就搞你  好可怕,我还是不参与
支付宝上传照片
没有办法!!
流氓惯了,我也 不敢多YY,
万一,被跨省了呢!!
反正,你不信, 反正我信了!

转载本站文章《支付宝好可怕,偷拍!万一不小心啪啪时候被偷拍了?!》, 请注明出处:https://www.zhoulujun.cn/html/about/gangkai/2016_0224_7638.html