上次锤了小苹果电脑版之后，作者跟帖回复了(https://bbs.houdao.com/r14574925_4/#td_173060758)，大意是收集来的cookie只用作cf活动用途，也就是承认偷取用户cookie了。而且作者还说我思想想的无底线！？我怎么感觉这个"无底线"更适合软件作者呢！？有些人，不仅思想无底线，而且做法也无底线。我就不说、我信不信作者说的 、只用作CF活动用途了，因为没法验证；偷取用户cookie、我们可以实锤并被验证，但是拿到了cookie后去做了啥，我们无法去验证和知道的，只有一个人能知道。
    这次本来是要发另一款软件的，可是我抓了10次包，都没发现有啥异常的，为了避免给它做广告、就不说软件名字了。正当我以为没的写 的时候，发现了小苹果手机版，重点是这界面竟然 跟我之前锤过的闪电活动助手手机版(https://bbs.houdao.com/r14560076) 界面几乎一模一样！！！这是诱使我再继续研究研究它呀！！！就像已知A有后门，B与A外观长的一模一样，那么B到底有没有后门呢？
    上次有人私信说让我把逆向分析过程也写出来，这猴岛也不是个技术交流论坛呀，你是想让作者学习下逆向过程、下次把获取cookie写得更难被发现！？这次简单写一下过程吧。首先动态调试、能知道个大概，也就是在电脑的安卓模拟器上直接运行，抓包看看有没有异常。Wireshark开启捕获，安卓模拟器上网页登录qq，然后Wireshark停止捕获，再Wireshark上输入http，先来看看http的包

描述:图1-动态调试抓包.jpg

    qq=xxxxx&key=xxxx，这么眼熟，这很像小苹果电脑版(https://bbs.houdao.com/r14574925)偷取用户cookie的参数格式，连域名(bangbanghuodong.com)都是同一个！由于key的值加密了，我们不知道是不是我们QQ的cookie，只知道qq这个参数没加密，是我测试登录的qq号。就抓了1次包、而且仅仅是最基础的http包、就发现可疑问题了！？这。。也好，省时间了，马上进行下一步。
    其次，静态调试，几乎能获取一切。打开JEB(运行jeb_wincon.bat就能打开)，拖入小苹果活动助手V3.2.apk ,双击classes.dex，依次展开com，appcfxpg，双击主窗口(下面图片左下角 classes.dex/层级 那边显示的那个主窗口)，搜索(快捷键是Ctrl+F)bangbanghuodong.com，略过不相关的信息，结果显示搜到了http://yz2.bangbanghuodong.com/app/app.txt，

描述:图2-静态分析-接口网址.png

描述:图3-接口网址.png

打开看了下，这个yaoqing.bangbanghuodong.com 很眼熟，就是上次小苹果电脑版偷取用户cookie的二级域名，于是搜索yaoqing.bangbanghuodong.com，找不到结果。然后再双击主窗口，搜索 网址中等于这个二级域名的 文本 服务端IP，找到了，

描述:图4-静态分析-接口网址-找到.png

这里你需要懂一点smali语法，总之大意就是把这个yaoqing.bangbanghuodong.com赋值给公用模块的变量 接口网址，于是双击主窗口，搜索 接口网址，大概是搜了三次，就出现了这个 很可疑的地方，接口网址所在方法的名字为"发送信息给服务端",这跟以前闪电(https://bbs.houdao.com/r14560076)偷取用户cookie所用的上传方法是同一个名字！

描述:图5-静态分析-发送信息给服务端.png

于是双击主窗口，搜索 发送信息给服务端，搜到的第一个就很可疑。

描述:图6-静态分析-加密.png

这里应该就是上传用户cookie的代码部分。嗯，前面已经抓包抓到了很可疑的http包了，现在就是要逆向找到的  文本加密 这个方法，然后再去解密、看看是不是解密后存在我们QQ的cookie了。

描述:图7-静态分析-找到了闪电助手.png

双击主窗口，搜索 文本加密，第一个结果与加密算法不相关，但是 竟然在小苹果活动助手里面搜到了闪电助手的文字！！！这说明这两个软件有点相关呀！(外观类似可能是高仿的界面，但是代码里面都有..那...)

描述:图8-静态分析-加密逆向.png

第二个结果就是 文本加密的算法了，比较长，截图只能截取一部分，有了这、你在懂点smali语法，就能逆向解密算法的代码了。这个其实根本不费功夫，因为我看了后发现，这就是小苹果电脑版1.42版本偷取用户cookie时用到的加密算法(https://bbs.houdao.com/r14574925)，key参数加密的逆向解密算法上次已经写过了，拿来用就行了。

描述:图9-解密结果.png

运行解密算法，果然得到了我们QQ的cookie的uin和skey！至此，实锤小苹果安卓CF活动助手3.2偷取用户cookie!手机版比电脑版少了个参数，1.42电脑版还有p_skey呢!另外把小苹果偷取cookie文本解密的源码和可执行程序附上，方便大家验证！大家不赶紧试试，小苹果作者就更新软件、更新加密算法和传输方式了！

    由于前几天发了小苹果电脑版1.42偷取用户cookie了的帖子了(https://bbs.houdao.com/r14574925)，为了客观，标题也写了电脑版帖子中、作者的解释是"只用作CF活动用途"，但是也写了是"作者说"的，只有作者知道干了啥。并且手机版，我也没深度挖掘（在登录抓了1次包后发现可疑的包后就停止了！没抓后面的领取完和关闭后等等，也没研究非http数据包），并不知道还有没有什么密码或者其他信息被记录的，感兴趣的你们自己研究，谁知道有没有那种再软件关闭或者退出时触发、利用udp或者websocket或者自己写的协议加密并传输 密码或者其他信息的后门呢。我这是思想无底线?我感觉我这是基于发生了偷取cookie行为后的合理怀疑呀，但是的确我没发现那些更糟的(但不能保证没有、因为没深入搞)，因为我发现了个最明显的偷取用户cookie后，就来发帖了，后面的留给感兴趣的大家去挖掘吧。上次帖子里还写让管理把附件加到帖子里防止链接的附件失效，这仨管理一个也没搞，我怀疑他们也相关！这是不是合理怀疑？


文中所用软件下载：
Wireshark:https://www.wireshark.org/download.html
JEB：https://down.52pojie.cn/Tools/Android_Tools/JEB_3.0.0.201808031948_Pro.zip
小苹果活动助手V3.2 :https://www.filecad.com/egZ2/小苹果安卓CF活动助手3.2.apk
小苹果偷取cookie文本解密的e源码和可执行程序：https://www.filecad.com/it8e/小苹果收集cookie文本解密的e源码文件.rar

引用

补充内容(2020-06-10 23:39)
他急了、他急了、作者来长篇大论其实就一句话概括：收集cookie只用作CF活动。我标题已经给他概括了。

侵犯隐私权构成违法

插眼

恶心 竟然上传cookie

都是大佬

引用

引用第46楼″   浅笑含双靥。于2020-06-11 02:25发表的  :
支持技术大佬，质疑是合理的。

有问题就说出来，大家敞开天窗说话。

支持技术大佬，质疑是合理的。

有问题就说出来，大家敞开天窗说话。

等我测测、试试、锤锤

不管你支持谁，我都觉得作者在手机版上、加上个收集cookie的说明，就好了；他不加、偷偷收集咱们也没办法。

哦，用的人多，能收集更多的cookie呀

整体来说，你说的那么多就两句话：收集的cookie只用作CF活动，发帖曝光的人心理阴暗是个坏人。前半句，我帖子标题给你概括了，算替你说话了，够客观了把；后半句，这是人身攻击呀。逐段回复你把，难得作者来回复。
    你看看标题足够可观了呀，怎么叫盖帽子。cookie的用处可多了吧，点赞就不算恶意用途呀，cookie很多不是恶意的用途也能赚到钱的，不一一举例了，CF活动邀请只是其中一方面，我上个帖子就没说反对你这样子搞，只是说建议你在手机版加个提示，保障用户知情权呀。无法验证是确实是无法验证的，比如你拿我QQ的cookie，给其他人点了个赞，我怎么去验证我qq给别人点赞过没有？我也不知道你点了赞还是干了啥别的事情呀！没说你收集cookie用作了恶意用途(毕竟用作恶意用途的话、有部分肯定会被发现的)，不反对你拿来用作无恶意的赚钱用途，只是建议你在手机版加个提示，把偷偷收集变为光明正大的，我们用你的领取，你用我们的cookie，利益交换。有谁出现过上面这类问题？这类问题是指啥？
    我也觉得cookie盗CF点和盗号无法实现，这点赞同的。但是我的确是没有继续深挖软件有没有其他地方收集别的信息呀，所以我贴子里写了没验证其他的，不排除啥啥啥的，这些都是没排除的，不是有这些行为的，我也是怕后来真有比我有更多时间、技术更厉害的人挖到了其他方面我没挖到的，说我包庇，所以说不排除啥啥啥。
    你说到其他软件了，我还真测过一个软件有心悦猫咪摇铃这功能，没抓到包收集cookie的，我不同时间段测了10次都没发现。我没反对你收集，只是建议你在手机版加个提示，而且，现在没有互点活动、你就心悦猫咪这功能，收集上万个cookie？我看到你心悦猫咪的cookie了，就50个呀，如果1小时20个cookie都失效了(我看了，大部分cookie几小时没变过的)，1天最多900个算。互点的确需要很多cookie，但是现在没互点活动呀。完全可以搞个开关，需要了（猫咪cookie失效了、有互点活动了）再打开开关、去收集(就像你软件的烟雾头功能开关一样)，这样能避嫌，就是多了个环节，但是技术上完全可以实现的。需要900个，收集几万个，而且这几万个cookie对用户来说是敏感的东西，尽管按你说的盗不了号、也不做恶意用途，但是额外多收集这么多上去、暂时放着没用，你不觉得烫手？也别怪有人会多想！你当然可以凭借着用户的信任，我就收集了，爱说说去。只是建议，不听也罢。人身攻击，大可不必。
    电脑版加了提示！？我之前真不知道，加了的话我替之前像我一样的用户感谢你！感谢你终于保证了我们的知情权，尽管是在这种被迫的情况下。加了提示我就满足？这是什么原理？那我也同样问你，我标题简明扼要替你说话澄清了，只用作CF活动用途，你满足不？至于这个帖子，不写过程把，私信说我只有结果没有过程是污蔑，尽管作者都没否认这结果；写了过程吧，就是装逼。哇，心好累啊！我觉得你该感谢我的，写了逆向的过程之后，你肯定会更新一个更复杂更高深的方式去做这些事情，而且再写的过程中把逆向的这些给加固了，比我技术更厉害的人肯定有，但是那种人就更少了，下次把获取cookie写得更难被发现，再次实锤这些的可能性就更少了。
    朋友交易、收广告费，这叫龌龊和内心黑暗？你可以百度下"PY交易"暗指啥，如果PY交易是龌龊和内心黑暗，那屌丝这个词、你看到了(逐字理解表面意思)是不是得吐一地呀，那你得天天吐了，因为那是经常遇到的词。我上个帖子说了呀，看到是前几个月版块置顶推荐的软件，置顶推荐，所以怀疑有广告费、朋友交易很正常的呀。你说这些、是在离间我和 这几个本来我就不认识的 板块管理的关系吧？这还真没必要，可能你认识，但是我不认识呀。怀疑并非是事实，我帖子里写清楚了怀疑什么还是实锤什么的。
    你登录的少、不发帖，即使你没在这个帖子回复，也跟帖子内容没关系呀。我觉得吧，用户得感谢你做了个免费的、用起来很好用的软件，你也得感谢用户使用(用户给了你cookie)。你就算没来回帖，我也替你说话了，我在标题就写了你这一段话的概括：作者说，收集cookie只用作CF活动。

他软件 广告收益应该不错吧，流量挺大的 贴吧论坛几乎都知道

引用

引用第15楼小笙离于2020-06-10 21:31发表的  :
楼主为了用户利益维权曝光，用户应当支持 不该冷嘲热讽

好久不用小苹果了 现在都是群里机器人扫码领取

干就完了，我挺你

你三观真正

没收钱，但是可能、可以变相收钱，意思是如果你有每天有几万cookie，你也能变现很多钱。但是作者搞没搞我不知道的，所以我不能乱说。只说实锤的是收集了数以万计的cookie

懂的人，没一个来说 验证到结果的(软件后台真硬)，不懂的人，说啥的都有。

测过了。就不给它做广告了。

已经被骂惨了。我等着作者和用户顺着网线来揍我呢