V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
strayuncle
V2EX  ›  Android

华为 magic 手机是如何黑掉微信的?

  •  
  •   strayuncle · 2017-08-08 10:45:57 +08:00 · 29489 次点击
    这是一个创建于 2668 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近腾讯正在告华为,原因是华为在一款 2016 年 12 月推出的 magic 手机上,偷偷的截获微信的用户消息。至于谁对谁错,暂且不表,等着官老爷定夺。从技术人员的角度梳理一下整个事件。


    要回到今年 5 月 22 日,当时微信推出新版本 6.5.8,华为 magic 手机用户发现升级之后微信闪退或者无法响应,询问的帖子在华为手机的华粉俱乐部的 magic 手机论坛上一片哀嚎。但是在 mate9 的论坛上却有人说新版本微信好用。而其他品牌的手机也没有爆出微信升级后不可用。那么华为官方的解决方法是回退到旧版本 6.5.7。有一些用户也找到了解决办法:通过腾讯的应用宝(腾讯官方的 app 市场)下载了 6.5.8 版本的微信,结果好用。


    腾讯是怎么知道的?因为 magic 的用户登录不了微信,骂微信不好用。但是微信在其他手机上都好好的。腾讯想此事必有蹊跷。买一个华为 magic,升级一下微信,抓个 dump 总会吧。一看,这个微信是山寨的。


    分析一下就明白:华为 magic 手机升级的 6.5.8 不是腾讯的官方版本,华为动了手脚。怎么做到的?华为有自己的手机,有自己的 rom,还有自己的应用市场,这就是修罗场。简单分析一下原理:微信并没有提供 api 给华为 rom 访问的,如果华为想截获信息,必须自己 hack 这些 app 的内部数据结构。就像没有钥匙进门,华为就自己打了个洞进门。


    但是这样黑掉第三方的 app,是不是越界了?在大胆的设想一下,华为可以黑掉微信,是不是可以黑掉银行 app,以及所有的 app。再推广一下,华为是不是有磁盘、交换机和服务器,那么未来推行企业的 AI,那是不是也可以拦截一下数据呢。


    是谁说的上不碰应用,下不碰数据,绝不做黑寡妇。你猜?


    如果你对自己的隐私很敏感,请转发给其他在乎隐私的朋友。

    证据:
    1、《关于荣耀 magic 微信升级 6.5.8 版本的公告》 http://club.huawei.com/forum.php?mod=viewthread&tid=12871413

    2、《荣耀 magic 微信升级 6.5.8 版本解决方案》 http://cn.ui.vmall.com/thread-12870976-1-1.html
    167 条回复    2017-08-12 15:26:46 +08:00
    1  2  
    sephinh
        101
    sephinh  
       2017-08-08 20:43:31 +08:00 via Android
    @choury 这就不敢发了?华为也就说我问问你用一下你的数据搞个智能助手。腾讯意思:我是你爹,这不是你的数据都是我的,我随便分析不需要你同意……
    shanigan
        102
    shanigan  
       2017-08-08 20:43:42 +08:00
    @kaixuanzxw 撇开事情的对错先不说。假设你确实是 magic 团队的,这种解释也完全不应该出自你口。大公司都是有 PR 部门的,你在这里做这样的解释本身就不件非常不 professional 的事情。
    judging47
        103
    judging47  
       2017-08-08 20:44:26 +08:00
    国内的互联网还有数据隐私吗?
    sephinh
        104
    sephinh  
       2017-08-08 20:45:05 +08:00 via Android
    @withlqs 同意,一堆人感觉都没点分析能力,就高兴黑来黑去,怼来怼去
    choury
        105
    choury  
       2017-08-08 20:52:44 +08:00 via Android
    @sephinh 你的意思是,反正腾讯已经有一份了,所以其他人都来拷一份也无所谓了?
    kx5d62Jn1J9MjoXP
        106
    kx5d62Jn1J9MjoXP  
       2017-08-08 20:54:23 +08:00 via Android
    支持华为,腾讯还想独占我在微信上发送的信息的所有权啊,呵呵。
    ptyfork
        107
    ptyfork  
       2017-08-08 20:54:36 +08:00
    天天用着微信居然还能在乎隐私,实在是理解不能啊
    realpg
        108
    realpg  
       2017-08-08 20:59:14 +08:00
    @wwsww #97
    按照大多数 包括我的项目的 EULA,软件内流转的数据都是属于软件的,不属于用户。
    stephen9357
        109
    stephen9357  
       2017-08-08 21:13:38 +08:00
    @lookas2001 微信内的数据是腾讯的也好,是用户的也好,总之都不是华为的,如果你认为华为有权绕过腾讯获取微信聊天记录,那是不是该手机上的任何应用在自己的用户协议里加上这么一句话,就都拥有了这个权利?
    strayuncle
        110
    strayuncle  
    OP
       2017-08-08 21:43:38 +08:00 via iPhone
    中国古代著名竹林七贤之一的刘玲,他经常饮酒佯狂。有一次客人来访,他竟然来了个裸体相迎。客人责问他,他说:“我以天地为宅舍,以屋室为衣裤,你们为何跑到我裤子里来了?”

    就算我在微信上是个变态,约炮,恋童,但是华为凭什么跑到我裤子里来呢?
    flynaj
        111
    flynaj  
       2017-08-08 21:46:04 +08:00 via Android   ❤️ 1
    并不是 6.5.8 版本微信会 crash,而是从华为应用市场下载的 6.5.8 会 crash,而应用宝下载的不会。这样还挣什么
    endrollex
        112
    endrollex  
       2017-08-08 22:02:02 +08:00
    谁拿个华为 6.5.8 和应用宝 6.5.8 文件对比下?华为应该胆子没那么大吧,微信毕竟装机量那么大
    YvesX
        113
    YvesX  
       2017-08-08 22:04:34 +08:00
    @kaixuanzxw #6
    你都拿 3Q 大战来类比了,不觉得当年 360 扣扣保镖这玩意儿有点问题吗?
    lookas2001
        114
    lookas2001  
       2017-08-08 22:06:48 +08:00 via Android
    @stephen9357 没用过 magic,但是就描述来说
    用户是可以选择开启或者关闭的。
    我用着微信,我发着消息,微信没给我钱,这消息的所有权咋就不是我的了,我爱授权给谁就给谁了。
    另外华为也没像某些软件,比如支付宝的不给授权就不启动了这种以死相逼的行为咋就不行了呢
    那些用户协议就是不给权限就不启动的事情,tx 没干过?(和 360 掐的事情)
    另外协议的合法性又是一个问题
    用户协议里写着可以伤害用户这软件就可以干了?
    法律:喵喵喵?
    magicO
        115
    magicO  
       2017-08-08 22:25:58 +08:00
    ==小白的我没太整明白这事,已经封装完的 app 放到渠道里后,怎么会被华为给黑掉。想来我觉得 crash 都是代码里的问题啊。有没有技术大佬给捋一下。
    ichanne
        116
    ichanne  
       2017-08-08 22:26:48 +08:00
    @lookas2001 友情提醒,你用微信的时候,连的是腾讯的服务器,消耗的是腾讯的电费、带宽和流量
    addywu
        117
    addywu  
       2017-08-08 22:51:05 +08:00 via Android
    @magicO 上层 app 需要运行环境的,而这个环境是华为提供的,相当于你走路,路是别人铺的
    Gauin
        118
    Gauin  
       2017-08-09 00:10:11 +08:00
    作为 pm,我是进来看技术分析帖子的!
    你们一顿吵架,完全没有理性分析。

    期待技术大神分析下
    sxyuqiao
        119
    sxyuqiao  
       2017-08-09 00:18:08 +08:00 via iPhone
    @kaixuanzxw 呵呵 3Q 大战现在还有人在给数字背书,也是牛批。
    zjp
        120
    zjp  
       2017-08-09 01:51:06 +08:00 via Android
    @loveour 是和小学生论坛一个样…点进来之前我还以为会是讨论技术层面。华为就是原罪,这句还真不假
    Afanyiyu
        121
    Afanyiyu  
       2017-08-09 02:22:59 +08:00 via Android
    一个从来不用微信(包括 bat )的用户看到了这个帖子然后笑了笑
    seeker
        122
    seeker  
       2017-08-09 02:36:34 +08:00
    安卓的生态真是糟糕
    autoxbc
        123
    autoxbc  
       2017-08-09 05:39:40 +08:00   ❤️ 1
    用户授权你拿数据

    也要用合法的方法拿

    修改安装包是逆向工程

    控件里埋点是中间人攻击
    WildCat
        124
    WildCat  
       2017-08-09 06:06:41 +08:00 via iPhone
    @linzianplay android 不需要 ocr,系统有 api 直接读取
    xenme
        125
    xenme  
       2017-08-09 06:18:54 +08:00 via iPhone
    类似防毒软件,如果要监视 https 流量,你必须中间人,比如公司不是的话,截取了微信的流量并检查数据是否有泄密等,会不会被微信告了啊?

    就事论事,如果华为给了用户选择,用户选择让华为了处理数据,关你微信吊事?

    就微信说数据是他的,你们还用?
    jimisun
        126
    jimisun  
       2017-08-09 06:31:26 +08:00 via Android
    @simplove 额 我也用的 360 但是感觉一直感觉手机不是我的一点都不自由………
    cat9life
        127
    cat9life  
       2017-08-09 08:54:07 +08:00
    我也以为 LZ 分析 app 了... 那不能先晒代码再讨论
    hhhaa
        128
    hhhaa  
       2017-08-09 08:56:44 +08:00 via Android
    @endrollex 先有华为后有天
    cnZary
        129
    cnZary  
       2017-08-09 09:19:15 +08:00
    @WildCat 图片里的内容识别嘛。。。
    cnZary
        130
    cnZary  
       2017-08-09 09:25:47 +08:00
    @addywu 说的好像华为的用户是免费拿的华为手机似的......
    deadEgg
        131
    deadEgg  
       2017-08-09 09:26:01 +08:00
    6 楼高端黑啊
    iugo
        132
    iugo  
       2017-08-09 09:35:18 +08:00
    @kaixuanzxw "所以说数据到底是谁的啊?"

    这一句还真是有大公司的风范.
    "数据属于用户, 我拿用户数据, 用户完全可以来告我啊, 来啊来啊."
    大公司就知道一般用户和自己耗不起, 随便欺负用户没问题.
    duhai973
        133
    duhai973  
       2017-08-09 09:41:02 +08:00
    show me the code
    Donald5VE
        134
    Donald5VE  
       2017-08-09 10:12:09 +08:00 via iPhone
    惹不起惹不起,咱不用还不行
    cybermonster
        135
    cybermonster  
       2017-08-09 10:17:08 +08:00
    这好像不太可能吧,现在的 app 更新那么快,难道微信每次更新华为的团队都要针对 magic 用户在微信上打一个洞???另外,任何免费的东西都没有隐私可以谈!至少 magic 还是手机,华为是卖的硬件,微信问你收钱了???小米卖的便宜,这个手机是基于 adui 上,微信问你收服务费了???
    hxndg
        136
    hxndg  
       2017-08-09 10:22:40 +08:00   ❤️ 1
    @jhdxr 重点并不单纯是授权,而是用户授权时并不知道微信数据会被截取,如果在不知道的情况下通过隐瞒的手段获得了用户授权,之后用户数据被截取,那么这种行为同样属于欺诈。虽然我对于 BAT 三大鲁莽都不感冒,但是不得不说 T 是这几家里做的不错的, 至于说道对人的方面,华为,呵呵,做的很多事情不少程序员都是知道的。
    roadna
        137
    roadna  
       2017-08-09 10:33:24 +08:00 via Android
    @lookas2001 我是支持这个逻辑的,不过,你自己发的消息有权授权给 magic,但是其他用户的消息呢?你又是否有权授予?
    Admstor
        138
    Admstor  
       2017-08-09 10:34:30 +08:00
    用户的数据是用户自己的,但是用户和别人聊天的时候,这时候对话数据又是谁的?群聊呢?
    这里面会有很大的争议.目前看来腾讯说所有数据都是腾讯的,这点其实是对用户的一种保护(同时腾讯也是受益者)

    更何况腾讯协议在先,华为手机在后.
    这点上即便是个人立场不支持腾讯封闭圈子,但是华为显然越界了
    bookit
        139
    bookit  
       2017-08-09 10:41:51 +08:00
    所以操作系统完全开源是个错误。。。。

    什么人都能改,随便拿数据

    建议安卓像 macos 那样,底层开源,framework 层不开源
    pljhonglu
        140
    pljhonglu  
       2017-08-09 11:00:47 +08:00
    个人观点,用户可以授予操作系统来获取 APP 内的个人数据,当然,APP 也有可以选择系统,微信判断如果是 magic 设备就直接 crash 也是没毛病的。
    zcljy
        141
    zcljy  
       2017-08-09 11:09:52 +08:00
    @kaixuanzxw talk is cheap 啊 XDDD no code say a XX
    torchmu
        142
    torchmu  
       2017-08-09 11:21:48 +08:00
    有人的地方就有江湖:-D
    个人看法主要三点:
    1 )数据是用户的;
    2 )无授权不可为;
    3 )授权声明得显著;
    leamtrop
        143
    leamtrop  
       2017-08-09 11:29:08 +08:00   ❤️ 1
    路由器装了 ss,华为 P10 依然无法打开 Google,再也不敢用华为的产品
    wiket
        144
    wiket  
       2017-08-09 11:53:01 +08:00
    回复里面的字里行间表露了很多技术实现方案啊
    RyanKung
        145
    RyanKung  
       2017-08-09 12:04:42 +08:00
    @leamtrop 这个现象普遍吗?
    kx5d62Jn1J9MjoXP
        146
    kx5d62Jn1J9MjoXP  
       2017-08-09 12:26:07 +08:00 via Android
    @pljhonglu 微信选择在特定品牌的手机上崩溃,这个如果被抓住证据,这是有歧视消费者和垄断两个嫌疑的
    hienchu
        147
    hienchu  
       2017-08-09 12:32:04 +08:00
    人为刀俎,我为鱼肉
    ahkxhyl
        148
    ahkxhyl  
       2017-08-09 12:32:47 +08:00
    狗咬狗~
    kmahyyg
        149
    kmahyyg  
       2017-08-09 12:39:04 +08:00 via Android
    @kaixuanzxw 仅发表个人看法,没有亲自用过 magic。在现在这个用户都普遍被 qj 的敏感时期,个人宁愿麻烦点,也要尽可能减少隐私泄露。对事不对人,华为在国内的员工待遇这块真的很糟糕。还是希望华为相关公开下部分技术细节。

    另外,贵司的老机型的系统更新真是一团 shit,开源也不到位,搞的想弄个 los 都不行。不过还好,贵司 emui 后台控制还不错,可以坚持着勉强用用。

    @leamtrop 更新 gms,不是华为的问题。
    kmahyyg
        150
    kmahyyg  
       2017-08-09 12:41:45 +08:00 via Android
    另外,仔细看了下全文,感觉如果真的是华为自己劫持了微信 6.5.8,那真的,华为太糟糕。
    ruib
        151
    ruib  
       2017-08-09 12:46:31 +08:00 via iPhone
    开个脑洞 以后手机机能再强大一些的话 是不是可以不断截屏然后实时 OCR 这样再怎么加密也貌似误解
    Obelly
        152
    Obelly  
       2017-08-09 13:04:02 +08:00
    历史版本 apk 有么?拿过来反编译下,众包一下查查 diff 就好了……反正有闲的人这么多……
    abbenyyy
        153
    abbenyyy  
       2017-08-09 13:46:48 +08:00
    @kmahyyg 你认为 EMUI 的后台管理还不错,那可能是你没试过 EMUI 然后用记录跑步轨迹的软件,就算添加了白名单,熄屏后一律被杀,没法记录,只有保持屏幕常亮。
    Juggernaut
        154
    Juggernaut  
       2017-08-09 14:45:18 +08:00
    @abbenyyy 这是华伪为了证明自己电池强大与手机省电优化好的做法,通常就是杀进程,哈哈,粗鲁直接
    notreami
        155
    notreami  
       2017-08-09 15:21:28 +08:00   ❤️ 1
    @kaixuanzxw 上 crash 代码,瞎扯谁不会说呢?
    kmahyyg
        156
    kmahyyg  
       2017-08-09 16:12:44 +08:00 via Android
    @abbenyyy 对,这个倒是,但绝大部分情况是它的白名单有好几个地方,没设全
    impact
        157
    impact  
       2017-08-09 16:23:07 +08:00
    为了吵而吵,根本都没有绕着关键点在解决问题,却用尽了全力将自己能知道的黑历史一个劲拿出来以加强说服力,没意思。什么时候 V 站变成菜市场而不是解决问题的地方了。。。
    jy02201949
        158
    jy02201949  
       2017-08-09 17:10:40 +08:00
    反正工信部调查了,等结果吧
    tcpdump
        159
    tcpdump  
       2017-08-09 17:40:01 +08:00
    @Afanyiyu 没朋友笑什么?
    withlqs
        160
    withlqs  
       2017-08-10 22:52:43 +08:00
    @abbenyyy EMUI5.0 用 keep,自启动和互相启动都添加了白名单之后,锁屏后一切正常,没有问题。
    Afanyiyu
        161
    Afanyiyu  
       2017-08-11 14:35:31 +08:00
    @tcpdump
    1.现实生活中的朋友很多
    2.其他通信软件
    tcpdump
        162
    tcpdump  
       2017-08-11 16:06:48 +08:00
    @Afanyiyu TG、WhatsAPP、Signal 你就说说你用啥吧
    leamtrop
        163
    leamtrop  
       2017-08-11 17:33:31 +08:00
    @RyanKung 刚买的华为 P10,不确定是不是普遍现象,但是有一点可以确定的是,我在华为上装了安卓版 ss 才能 fq
    Afanyiyu
        164
    Afanyiyu  
       2017-08-11 19:21:09 +08:00
    @tcpdump Skype😂
    平常联系的也就没几个人,有事要么打电话要么走走路
    需要手机聊天的一般都被我推荐了 Skype
    也不打字聊天,一般就是挂着语音
    HumbertHumbert
        165
    HumbertHumbert  
       2017-08-11 20:28:18 +08:00
    @seancheer 其实我觉得都差不多。毕竟阿里还有直接逼死孕妇员工的。
    另外,其实菊花的加班费是可以报的,而且是两倍,不过一般人不想及时就报了,可以累积起来,等自己工资高了然后 N+1,以最高的工资的两倍核算成钱。这个比企鹅好点,企鹅朋友们都故意不干活,因为平时没加班费,等到国庆节劳动节时候到公司加班,这时有两倍
    seancheer
        166
    seancheer  
       2017-08-11 22:21:12 +08:00
    @HumbertHumbert 你没在这个公司待过???不知道这个公司大领导们说的不提倡加班,哪个部门加班多就要查那个部门???上有政策下有对策,下面领导自然层层不让你报了,你说你基层员工怎么报?。。。傻逼公司仅仅只是想节省开支而已,既然有严格的工时系统,为什么不用呢?
    HumbertHumbert
        167
    HumbertHumbert  
       2017-08-12 15:26:46 +08:00
    @seancheer 看部门吧。2012 的同学说他们都可以报的。不知道你是什么部门
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1395 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 17:32 · PVG 01:32 · LAX 09:32 · JFK 12:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.