v2rayNG
v2rayNG copied to clipboard
2dust
应用宝会提示V2rayNG存在更新,请注意安全。
发生了什么
应用宝会提示用户V2rayNG 存在更新,并提供一个更高版本的V2rayNG 覆盖本地程序。值得一提的是,您并不能在应用宝中搜索到V2rayNG这个应用程序,详情页面亦不存在。但应用宝确确实实会提供这么一个更新。不能确认其意图,需要更进一步调查,此行为可能会威胁到用户安全。
复现方法
1.安装Github Release 1.3.3 版本的V2rayNG(1.4.13版本不会被提示更新,其他版本不清楚) 2.打开应用宝,让他刷新。 3.会收到V2rayNG的更新推送。版本号1.0.0 实际可以覆盖1.3.3。
图片
Looks like they just push an ancient version and exposed @2dust old email address ;)
Looks like they just push an ancient version and exposed @2dust old email address ;)
看起来是一个古老的版本,但是其可以覆盖较新的版本进行安装。这让我感到不安(覆盖安装应用数据保留,意味着配置文件会被应用宝提供的更新包获取到)。
应用宝 这玩意还有人用
我相信使用GitHub的用户是大多不使用应用宝的,但我不用不能代表我的朋友不用,不能代表机场的小白用户们不用。得益于手机QQ的无缝推广和腾讯网卡免流,应用宝在国内的用户基数是不容小觑的。倘若此更新包是间谍程序,受害者范围将不是少数,这与我们建议用户在电脑上使用v2ray时应该退出国产杀毒软件的原理是一样的。
本人能力有限,不能给出对应用宝v2rayng更新包的安全审计结果。希望能引起一定关注,等待大佬确认。
样本apk不知道是否适合在这里传送。
I believe the apk signature is checked by Android OS which guarantee it is the original. 1.0.0 can override because the Github release version (an invisible number in xml) is lower than Playstore releases. If you download from Playstore it should not be overridden by older version any more.
