V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
DTCPSS
V2EX  ›  iPhone

iOS 的反诈中心有多大的权限?

  •  
  •   DTCPSS · 2022-08-19 17:00:16 +08:00 · 13456 次点击
    这是一个创建于 587 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如,它可不可以知道我有没有装 YouTube ?

    没有做过 iOS 开发,不清楚这玩意权限有多大。

    如果我什么权限都不给它,它能收集到多少信息?

    36 条回复    2022-10-01 07:27:32 +08:00
    lovedoing
        1
    lovedoing  
       2022-08-19 17:06:10 +08:00   ❤️ 9
    可以知道,油管有 url schema ,只要尝试拉起一下就知道,比如之前支付宝就用 url schema 尽可能扫描已安装的 app
    kera0a
        2
    kera0a  
       2022-08-19 17:09:22 +08:00
    获取不到啥,但有可能获取到你是否安装 YouTube
    具体验证方式就是下载 ipa 包,解压看里面 info.plist 里 query scheme 里有没有 youtube
    FKTHECCP
        3
    FKTHECCP  
       2022-08-19 17:18:27 +08:00   ❤️ 8
    不排除 Apple 中国会给这个 app 调用私有 API 开绿灯。
    icyalala
        4
    icyalala  
       2022-08-19 17:22:19 +08:00   ❤️ 3
    也不排除它自己混淆后调用私有 API
    Cavolo
        5
    Cavolo  
       2022-08-19 17:24:17 +08:00 via iPhone
    终于有这贴了
    Building
        6
    Building  
       2022-08-19 17:25:01 +08:00 via iPhone
    所以,到底是油管不安全还是反诈不安全?
    Cavolo
        7
    Cavolo  
       2022-08-19 17:29:51 +08:00 via iPhone   ❤️ 4
    @Building 被发现装油管了不安全🤪
    okakuyang
        8
    okakuyang  
       2022-08-19 18:00:25 +08:00
    可以获取是否装了油管,但是在 ios15 后能获取到的 App 限制在了 50 个。
    devHang
        9
    devHang  
       2022-08-19 18:04:28 +08:00
    能收集的信息有限,YouTube 可以获取
    safarigu
        10
    safarigu  
       2022-08-19 18:04:34 +08:00
    为什么美区搜索不到这个 App ?
    wildlynx
        11
    wildlynx  
       2022-08-19 18:49:58 +08:00 via iPhone
    用一个老手机装这个就好了
    Kanna
        12
    Kanna  
       2022-08-19 18:55:15 +08:00
    学习强国当时用了,整个界面+九宫格键盘字体+状态栏都给改成宋体了,退出来键盘都是宋体,其他 APP 从来没见过的
    Kanna
        13
    Kanna  
       2022-08-19 18:56:28 +08:00
    开绿灯是肯定的,个人开发这种肯定拒了
    DTCPSS
        14
    DTCPSS  
    OP
       2022-08-19 19:42:37 +08:00
    有没有逆向巨巨来逆向一波
    LotusChuan
        15
    LotusChuan  
       2022-08-19 20:13:49 +08:00
    苹果实际权限可以开很大,远程看屏幕都行;不过你又买苹果又权限关得这么利索的,被低端手段诈骗也不怎么可能,人家管这属于是没事找事,不如省点开发的工资多找几个人给那些容易被骗的群体多打几个电话。我之前被老家的局子打过电话,对面一听我不像老人也不像什么人傻钱多的主,用方言寒暄了两三句小心别被骗就直接挂了;后来隔了半年估计是负责我那块的人换了,另一个人又打了一次,和上一个一样也是扯几句就挂了,之后就再没打过电话。
    xtinput
        16
    xtinput  
       2022-08-19 22:21:38 +08:00
    可以通过 canOpenURL 判断是否安装,目前不需要白名单就可以调用
    iAndychan
        17
    iAndychan  
       2022-08-20 04:35:39 +08:00
    @LotusChuan 这让我想起来上个月被诈骗,骗子让我下载 Anydesk ,然后我和骗子在通话的时候,我打开 Anydesk ,app 就自动弹出是否允许被监视屏幕。我直接震惊了,是直接知道我手机号就能通过 app 远程监视?,当然最后没被骗(人在美国
    20160409
        18
    20160409  
       2022-08-20 08:42:05 +08:00 via Android
    @FKTHECCP 当年因为权限问题,WiFi 钥匙 app 在 iOS 上还没完全兴起时,只有万能钥匙这个寡头在做,当时 q 群里有万能钥匙团队的,记得他说他们公司就是靠门路弄到的权限。
    20160409
        19
    20160409  
       2022-08-20 08:42:27 +08:00 via Android
    #3
    CrazyUniverse
        20
    CrazyUniverse  
       2022-08-20 10:09:09 +08:00
    我曾亲眼见到 iPhone se2 过刚接到境外诈骗电话,不到两分钟就收到社区派出所打来的提醒电话。这个手机安装了诈骗 app 又从公众号上报备了,而且没开后台运行,所以我猜是和程序本身关系不大的,应该是因为之前手机号报备给了社区派出所,电信运营商后台自动检测来电号码,并通知社区派出所的
    mengfanhu
        21
    mengfanhu  
       2022-08-20 11:01:32 +08:00 via iPhone   ❤️ 1
    @CrazyUniverse 我没装这个 app 接过 00 开头的电话也会收到反诈中心电话
    我说你们警察不去抓骗子找我干嘛 工作人员说自己不是警察,我说我怎么知道你不是骗子
    后来接到 00 电话只会收到短信 再也不会收到反诈中心电话了
    mengfanhu
        22
    mengfanhu  
       2022-08-20 11:11:52 +08:00 via iPhone
    @CrazyUniverse 没装这个 app (警察上门让装,装完卸载了) 我自己 Gvoice 打 iPhone 的电话也会收到反诈中心电话
    我说你们警察不去抓骗子找我干嘛 工作人员说反诈中心不是警察,我说我怎么知道你不是骗子 他说反正通知到你了
    后来接到 00 电话只会收到短信 再也不会收到反诈中心电话了
    TeslaLyon
        23
    TeslaLyon  
       2022-08-20 11:32:22 +08:00
    记得前几年通过 iOS 同事得知可以扫描本地应用的 Bundle ID 什么的,用来检测用户是否安装了某个 app 。
    gzf6
        24
    gzf6  
       2022-08-20 11:46:17 +08:00
    预设立场的讨论没什么价值
    LotusChuan
        25
    LotusChuan  
       2022-08-20 12:11:28 +08:00
    @iAndychan
    我目测是你的 Apple ID 绑了你的手机号,或者说对方通过某种方式知道了你的 Apple ID 绑的其他账号(如邮箱),因为苹果本身是可以通过 Apple ID 远程看屏幕的,那么如果它同时提供了非内核的接口,第三方 app 是可以调用的。所以说不排除苹果不提示权限确认而直接监视屏幕的可能,毕竟弹不弹窗口也就一条语句的事。最后在国外诸事小心:)
    quenho
        26
    quenho  
       2022-08-21 15:13:55 +08:00
    为何要装反诈中心 app ?
    shirushi
        27
    shirushi  
       2022-08-21 16:01:00 +08:00
    还至于装反诈吗,云上贵州上面该有的信息差不多都有了 😂
    DogeFlyKite
        28
    DogeFlyKite  
       2022-08-22 18:12:40 +08:00
    @xtinput 不加白名单的话 canOpenURL 会返回 false 的(我没记错的话
    xtinput
        29
    xtinput  
       2022-08-22 18:28:30 +08:00
    @DogeFlyKite 那是之前,现在不加也会返回正确的结果,我才试了
    DogeFlyKite
        30
    DogeFlyKite  
       2022-08-23 10:30:15 +08:00
    @xtinput 刚试了一下,xcode 13.4.1 ,iOS 15.6.1 ,直接新建了个项目调 canOpenUrl ,结果是 false ,控制台输出了-canOpenURL: failed for URL: "wechat://" - error: "This app is not allowed to query for scheme wechat"
    加了白名单后正确地返回了 true
    xtinput
        31
    xtinput  
       2022-08-23 12:59:00 +08:00
    @DogeFlyKite 那就奇怪了,我没加白名单 weixin:// 返回 true 了
    taosw879
        32
    taosw879  
       2022-09-01 19:39:56 +08:00 via iPhone
    那到底要不要装
    Froghunter
        33
    Froghunter  
       2022-09-10 16:40:00 +08:00 via iPhone
    我只知道 iOS 那帮越狱开发者或者盘古团队或者某些安全团队可以通过用户点击他们制作网页 3 秒内获取你手机 root 权限,不知道大厂有没有这些能力。
    Chengnan049
        34
    Chengnan049  
       2022-09-10 17:18:53 +08:00 via Android
    @iAndychan AnyDesk 本来不就是要申请这个权限才能被远程么,实际上你给官方打电话说哪儿哪儿不会用,他们也能远程你,不过会弹窗请求你是否允许
    iAndychan
        35
    iAndychan  
       2022-09-11 03:27:21 +08:00
    @Chengnan049 Apple 官方知道我的 Apple ID ,而且会索要一个 pin 。那么那个骗子怎么通过 anydesk 直接弹窗要求监视我屏幕呢?
    Chengnan049
        36
    Chengnan049  
       2022-10-01 07:27:32 +08:00 via Android
    @iAndychan AnyDesk 不是开源软件来着么?用户量那么大,如果是私自开的接口应该早出事儿了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5707 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 01:47 · PVG 09:47 · LAX 18:47 · JFK 21:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.