今天看见不少人在群里问蠢沫沫这个安卓App安不安全,干脆自己下个试试水。正好抽屉里翻出个旧红米Note9,系统还是安卓10的,够老够代表性。
一、开搞前的防备
先把手机恢复出厂设置,SIM卡拔了,连家里那个专门测试的WiFi。特地开了开发者选项里的“禁止安装未知来源应用”,结果这破设置根本拦不住第三方下载,只能手动盯着安装流程。
...
今天看见不少人在群里问蠢沫沫这个安卓App安不安全,干脆自己下个试试水。正好抽屉里翻出个旧红米Note9,系统还是安卓10的,够老够代表性。
一、开搞前的防备
先把手机恢复出厂设置,SIM卡拔了,连家里那个专门测试的WiFi。特地开了开发者选项里的“禁止安装未知来源应用”,结果这破设置根本拦不住第三方下载,只能手动盯着安装流程。
二、找下载链接跟踩坑似的
浏览器搜“蠢沫沫安卓下载”,前三条全是伪装成官网的钓鱼站。点进第四个链接才弹出来真正的apk,文件名还带着v2.3.1_pub这种版本号,36MB大小看着挺正规。
三、安装过程露马脚
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
- 点开安装包跳系统提示时就觉着不对劲——居然要读写通讯录权限,一个漫画APP要这玩意儿干
- 继续往下拉更离谱:获取设备ID、监听电话状态、后台弹窗权限全在列表里
- 装完图标丑得扎眼,像素颗粒跟马赛克似的
四、运行测试血压飙升
刚打开就弹窗要手机号注册,随手填个假的居然通过了!首页推荐全是擦边球内容,划两下就跳出“限时充值返利”的弹窗广告,关都关不掉。
切到后台发现更骚的操作:这玩意每隔5分钟自动唤醒一次,电池统计里它耗电量比屏幕还高。用自带的手机管家扫描,居然提示“未发现风险”,气得我直接上电脑传apk到腾讯哈勃分析。
五、拆包结果实锤了
哈勃报告显示核心问题在这:
- 嵌了某广告SDK会偷偷下载插件
- 通讯录权限被用来上传手机里的联系人哈希值
- 最毒的是内置提权模块,发现系统漏洞就自动开后门
六、终极测试拔电源
插着电跑了一晚上,第二天早上手机烫得能煎蛋。恢复出厂前查流量:夜间偷偷跑了1.7GB流量,相册里还多了十几张广告缓存图。直接抠电池丢回抽屉,这破测试机算是废了。
结论糙话版:
想要手机变砖块/流量清零/亲友被骚扰三件套的勇士可以试试。这玩意儿根本是披着漫画皮的权限收割机+广告投放器,官网下载渠道跟路边黑店一个德行。
旧手机扔抽屉前拍了张后台日志图,感兴趣看评论区置顶,这流量曲线跟心电图猝死似的。散会!
