Aveline Swan上周发现聚合数据(juhe.cn)的 SDK会偷偷上传用户通讯录至服务器,虽然聚合数据随后更新了SDK关闭了上传用户通讯录,但Swan指出在产品端更新SDK是个漫长的过程,旧版的SDK仍然在收集用户通讯录,而且合数据服务器上用于接收上传的通讯录的接口并没有被删掉,仍然能正常处理数据。他对旧版本SDK进行了完整汇编分析,发现加密密钥很容易获取,密文很容易解密,他还发现聚合数据的开发者直接用了uploadSMSAddressBook作为上传通讯录的函数名。
via Solidot
via Solidot
没有评论:
发表评论