實錘某毒瘤公司所開發的APP的流氓行爲

某公司說我惡意抹黑拿不出證據，那我今天卻是要把這個一年前的回答好好補充全證據！明天就考試，但我就不復習！就是要和毒瘤對抗到底！本文一切內容真實可復現！若是你復現不出來請告訴我你的設備環境，我會盡量協助你復現結果因爲我是蘇州人，我就取這家毒瘤公司爲蘇州地鐵開發的app作例子吧windows

咱們從蘇e行-小米應用商店下載安裝包，並截圖小米商店網頁的版本號和更新時間安全

獲得58.42M安裝包一個markdown

記錄文件校驗，以確保這是一個完整的文件，app

爲了確保沒有任何其餘APP干擾，我準備了一個全新的煉妖壺環境，能夠看到煉妖壺裏除了系統必須的谷歌套件外只有一個mt管理器，並且存儲空間內啥也沒有很是乾淨工具

咱們把安裝包安裝到煉妖壺oop

證實環節1：濫用權限

直接打開app，贊成用戶協議，但拒絕電話和文件權限請求（這個app用來刷地鐵，顯然這兩個權限和該app必須功能沒有任何關聯）spa

ps：很是有意思的是，進入主界面後的位置權限拒絕了沒什麼後果debug

可明明位置權限卻是比電話權限有用114514倍啊3d

咱們贊成權限（反正壺中界，很是安全），進入app，過掉開屏後直接按下桌面按鈕code

能夠看到彈出了該app在後臺運行的toast

固然，可能有人要問了，我就彈個toast不能充分證實我在後臺運行啊

因此在進入後臺後，我打開終端

用top命令查看cpu佔用，發現佔用了2.3%（top只顯示單核cpu佔用，即佔用一個核心的2.3%，和windows端任務管理器顯示的全核佔用有所區別請特別留意）

可能還有人會問，剛切入後臺固然有佔用，那麼咱們過幾分鐘去設置裏看看

正常返回桌面5分鐘左右以後咱們打開該app設置頁面的電池頁面

足足運行了兩分鐘才被系統休眠（我係統設置所有禁止自啓動禁止後臺活動），顯然是作了保活的

你一個刷地鐵的app，有什麼後臺存活需求麼？進出站刷一下不就夠了？

以前寫那個回答的時候仍是360加固，如今改用網易了

nesec.so，很是典型的網易加固，無法洗

armeabi，鐵32位，還tm是沒neon的v5時代，山頂洞人麼？

我檢查過全部so文件了，都有對應64位sdk能夠接入，沒屎坑問題，那就是單純的壞了

固然你硬要舉例哪裏上64位有屎坑難度儘管告訴我，我能解決的屎坑實在不行你交給我解決

公共存儲data目錄，圈紅均爲實錘X5證據

還有這個service，洗不了

本來乾淨的壺中界，多了好多東西呢！

.tbs，QQBrowser，tencent都是接入X5帶來的

turingdebug彷佛也是X5的鍋

bwtCashierSDK和bwton是這個app本身脫糞的，理應放在私有data目錄

libs是個推SDK，個推老毒瘤SDK了這個libs文件斬草不除根春風吹又生。

加起來體積不大，可是污染公共存儲確實是毒瘤行爲

全部不須要共享的數據，請務必存儲於data目錄，爲了存儲整潔，也爲了數據安全

一個一年前發現但當前已被修補的問題是SDK版本太低，當時不一樣的app分別爲22或26，目前已被提高到28，該表揚的我也絕對不會少表揚，可是目前最新的應該是30咯！

一年前寫的回答到此已所有給出充分證據實錘

若是該公司仍然認爲我是在惡意抹黑請拿出充分證據，若是該公司堅持我是同行，那也請拿出充分證據

本文所有證據均使用合法的工具軟件取得，沒有經過任何反編譯手段進行個人證據列完了，請反擊或認輸，我願意奉陪到底我不是該行業從事人員，我只不過是個學制藥的大二學生，我對科技和程序只不過是興趣愛好罷了，但我仍然堅持爲更美好的軟件生態貢獻本身的力量

經典打包事故，把網易加固的SDK jar文件也給打包進去了，還有那個aapt文件夾也不用打包