本文同步自wing的地方酒馆
2018年过去了,好像今年没写什么文章,主要是过了写文章的年纪,不过有遇到奇闻轶事或者好玩的,还是会记录下来给大家,一起乐呵乐呵。
跟Iphone X没有太大的缘分,再屏幕又挂了之后,果断搞了一台迈凯伦定制版Android机,正当嗨时,发现使用豌豆荚安装应用完毕的时候,会弹出推荐相关应用的广告,如下图:
在厌烦的背后,也让我有了好奇心,这是怎么做到的? 为什么安装完成的界面会有广告? 为此我将从豌豆荚下载安装的app和正常安装的app进行了对比。
正常安装
豌豆荚安装
观察
通过观察 我们发现,居然安装完毕之后,居然不是同一个Activity,为此,我打开了我的DroidSwrod插件,来观察安装完毕的Activity到底是何方神圣。
从DroidSwrod中我们可以看出,安装完毕以后并非系统Activity:
而是 com.pp.assistant.install.installfinish.InstallFinishActivity.
(PP跟豌豆荚合并了?)
什..什么?? 为甚安装完毕的Activity是他自己的Activity,那系统的Activity去哪了?被干掉了吗?Android真的不安全,假想一下,如果其他App掌握了这个技术,我在一个商城下载了美团,直接弹出饿了么,那是多么可怕的一件事情。
好吧,这不是我们今天的重点,我们今天的重点是,豌豆荚是如何把系统的安装界面给干掉了。
破案
于是我就开始沉思,猜测这是怎么实现的。通常的做法是做一个Recevier ,监听完毕,然后关闭掉系统安装完成的Activity,弹出我自己的Activity,可是我如何关闭Activity呢。我为了安全起见,并没有root和给豌豆荚授权辅助功能,所以豌豆荚并没有办法帮我关掉Activity。那这到底是什么黑科技呢?
于是我开启了debug之路,打开DroidSword ,并且开启“调试所有应用”功能,就可以debug任意一个App了,这个功能要感谢XInstaller,因为实在太好用了,为了方便,我就移植到了DroidSwrod中。
调试之路漫漫,从InstallFinishActivity 调试到 startActivity的入口,纠结了很久,都没有发现是如何kill掉系统安装完毕的Activity的。
可以拿到的情报就只有注册了一个StaticPackageReceiver,在这个Receiver里面,做了对新安装应用的监听,以及包名的判断,最终判断是否豌豆荚推荐来的来启动InstallFinishActivity。
这里有个疑问先卖一下关子,为什么豌豆荚要判断是否豌豆荚安装的应用才启动他的Activity,如果有黑科技,那么全程所有安装都替换掉,卖广告岂不是美滋滋?
之后开始怀疑,是否是自己实现了一个安装文件的Activity,可是又好像自己实现的话,并没有权限可以这样做。 然后观察豌豆荚的转跳安装页面,也确实只是系统的
com.android.packageinstaller.PackageInstallerActivity
复制代码那也就是说没有自己实现一个安装时候的Activity。而且DroidSword也看不到在从豌豆荚转跳到安装界面的时候,有另外一个Activity弹出。
哎,愁啊,发愁啊,他到底怎么实现的呢,在我毫无头绪的时候,突然一个意外点击事件,提示了我:
WTF
这什么鬼,说好的豌豆荚自己没有实现一个安装程序呢? 难道是DroidSword 有问题了?他显示的完全就是系统的安装器啊! 于是我点击了下去,选择了豌豆荚的安装器。然后我发现。。。。
豌豆荚居然显示 安全安装(推荐),加粗 ,必须加粗!!
打广告也就算了,还把我系统安装器hook掉了,hook掉也就算了,你居然误导用户以系统的身份来打开你的安装器,去接受你推荐的广告。。 真是不敢想象如果一个小白用户,不小心点击了始终,每次安装都会强行,被迫接受来自豌豆荚的广告。这也有点太【文化人】了。
吐槽完毕,然后我打开了豌豆荚的安装器,发现 。。卧槽!!!!转跳的还是系统的com.android.packageinstaller.PackageInstallerActivity,并且没有被DroidSwrod抓下来,什么Gay ,我现在一脸黑人问号,就像这样:
好吧,不知道做了什么幺蛾子,只能全局搜索安装apk时候使用的URI了。结果果然发现一个问题:
在豌豆荚的清单文件中,发现了一个Activity,他接受了与系统安装器同样的URI:
那结果很明确了,肯定是用这个Activity作为跳板,然后转跳到系统Activity了。那为什么DroidSword会跟踪不到呢?于是我打开了这个Activity。。然后发现了。。
他并没有setContentView,而是给自身windowmanager加了个new view(),layoutParams 宽和高设置的大小是v4,而v4是。。
v4是 -2, -2好像是
public static final int WRAP_CONTENT = -2;
复制代码也就是说,这个Activity 根本! 没有! 大小!! 简直比1dp Activity还可怕。 那他做了什么事情呢,是如何干掉系统的安装成功页面的呢?继续跟踪调用栈最后肯定是转跳到系统安装的Activity。只不过在之前,对intent做了包装处理:
在apk版本为:Wandoujia_484050_web_seo_baidu_homepage.apk的混淆下,有一个类叫做:
.class public final Lcom/pp/installhook/e;
复制代码这个类就是从豌豆荚安装中转Activity转跳来的,他对intent做了个加工:
他把普通跳转系统安装Activity的Intent增加了一个Extra ,key为:android.intent.extra.RETURN_RESULT,值为true。 不知道这个会有啥效果,于是我写了个Demo,运行一下,发现~!!! 安装完成的界面居然没有了。。 也就是说,系统安装完成的Activity 是可以通过这个extra给干掉的。
结果
最终总结一下豌豆荚是怎么实现的,就是先起了一个监听器,安装完毕会判断包名来决定启动不启动他自己的广告页面,现在也可以解开疑问了,为什么要判断呢,不判断岂不是更好? 原因就在于,再外调起的安装Activity一般是不带android.intent.extra.RETURN_RESULT参数的,所以都会调起系统自身的安装完成页面。 如果豌豆荚不判断包名,那么会同时弹起系统的和他自己的广告页,这时候就东窗事发,做的事情大白于台下,会影响口碑。
我按照豌豆荚的实现,自己写了个Demo,结果如下,效果一毛一样。
试想一下,如果这个页面不是广告页,而我把安装美团成功后的页面调起为饿了么页面(这里只是举例,与美团饿了么无关),无论对用户还是企业,都是一种巨大的伤害。
反思
我没有root也没有给辅助功能权限,就可以有这么大的本领,来把系统狸猫换太子。 那实在是不敢想,如果我有root权限呢? 恰好是小白用户选择了默认通过授权呢? 这些拥有root权限的App会做什么事情? 细思极恐。作为Android用户,我们如何才能保护好自己?
欢迎加入Android开发 QQ群:425983695