[Question] 关于最近有文章说WeChatMsg存在上传用户手机号等信息的说明 #492
Comments
|
我吃瓜来 个人认为版本号:昵称,账号,手机号,邮箱 这非常让人容易误会,你应该直接写明白这是手机号基址什么的,如果我只是普通用户,我认为这种误导行为就是有可能在采集我的数据,即使你不是开源,存在误导行为,别人质疑你没什么问题,接受质疑并改进也什么问题。 |
普通用户只能看到这个: 版本号:昵称,账号,手机号,邮箱这是个开发者看的,如果开发者不会自己去调试验证的话,那么我认为也就没有开发的必要了,这辈子也就告别计算机行业了 |
你有点搞笑呢,代码明明白白摆在那儿, |
|
说实话作者真为小白写了提示... def show_info(self):
QMessageBox.information(self, "收集版本信息",
"为了适配更多版本,需要收集微信的版本信息,该操作不会上传包括手机号、微信号、昵称等在内的任何信息\n示例数据:\n\"3.9.9.27\": [68065304, 0, 68065112, 0, 68066576]"
)
def upload(self, version_data):
url = urljoin(SERVER_API_URL, 'wxBiasAddr')
try:
requests.post(url, json={'bias_dict': version_data})
print('版本信息上传成功')
except:
pass
def get_bias_addr(self):
account = self.lineEdit_wx_alias.text()
mobile = self.lineEdit_tel.text()
name = self.lineEdit_wx_name.text()
if not all([account, mobile, name]):
QMessageBox.critical(self, "错误",
"请把所有信息填写完整")
return
key = None
db_path = "test"
self.startBusy()
self.thread = MyThread(account, mobile, name, key, db_path)
self.thread.signal.connect(self.set_bias_addr)
self.thread.start()
def set_bias_addr(self, data):
if self.checkBox_send_error_log.isChecked():
self.upload(data)
self.stopBusy()
self.biasAddrSignal.emit(data) |
|
我认为这属于切实存在的 bug,我认为需要修复,如果我是普通用户我就是看不懂,你怎么办,如果这个事放在隐私保护更严重的国外,你怎么办。 正经开发流程没有这么干的。 |
建议“普通用户”付费使用,以获得更好的服务 |
("为了适配更多版本,需要收集微信的版本信息,该操作不会上传包括手机号、微信号、昵称等在内的任何信息\n示例数据:\n"3.9.9.27": [68065304, 0, 68065112, 0, 68066576]")是这一句话看不懂吗?看不懂没关系啊,下面有个按钮,看不懂就关就行了
|
我怀疑你连用都没用过
|
|
原文:你说你有理 我说我有理,你有理在源码确实没有上传,我有理在源码中确实存在手机号变量名并且这个变量名内容 upload 了,容易造成误会,我觉得还是别人评判这个问题较好。 |
|
原文:但是我们有办法解决两边的问题,要么改变量名 要么详细备注,推进开发规范是没问题的 |
麻烦再去看一下代码,phone,account,name是干嘛用的,跟下面的upload有什么关系,只看变量名,函数调用关系你是一点都不看。中间经过了这么复杂的运算你是一点都不提,不记得有哪个开发规范说输入变量名对输出结果有影响。 |
哦这里我道歉,我看错了,也说错了,rdata里面变量名是没问题。但是我们最开始说的是 f.wirte的字符串您还记得吗? |
|
那么我们就字符串名对此进行备注是否可以?因为原来的情况下在有些人审计时仍然会产生误导,即使它是写进的日志 |
同样觉得很有误导性。 在给团队找合适的工具,本来有付费意向的,碰到这样的隐私问题,很希望看到耐心详尽的说明。 |
|
真是造谣一张嘴,辟谣跑断腿,那些公众号自媒体当时说窃取数据各个微信群转发,现在辟谣了只是把原来文章删了,好多人还都蒙在鼓里 |
|
挺搞笑的,源码都放得的明明白白,有疑问不会调试?真不知道以后哪些倒霉客户会用这种人参与开发的软件 |
我之前搞微信hook,版本不同偏移地址不同,作者需要每个版本自己下载并找寻,所以才有解密1这个直接获取。那肯定也有作者没有去弄的版本呀,如果获取不到版本信息,拿不到偏移地址,那只能通过“解密2”这个地方根据你输入的完完全全的正确的昵称和手机号在本地内存中查找,以此来获取到偏移地址。这个地址只跟版本相关,获取不到就使用不了这个软件最基础的功能。作者源码完全贴出来,有质疑想法完全可以自己拉取调试一下,而不是只会跟风,我们这些搞开发的真的对个人隐私没兴趣。作者开发个软件,能让大家免费使用最核心的功能,而且将核心部分也开源出来,我不知道这有啥可质疑的,这点我力挺作者。 |
|
觉得不安全就别用啊,源代码摆在哪里还哔哔哔,如果是小白,不放心就别用,多简单得事情,人家开发者又没有对小白收费 |
👌 是否检查过没有类似issue
就不检查
🧐 问题描述 | Proposed Solution
某些文章说该项目有上传用户隐私数据的行为:https://mp.weixin.qq.com/s/mvae88fxG2BFte2TTGh1ZQ
懂行的可以自己去看代码,不懂行的可以自己看截图,上传的是不是用户数据
所有数据跟弹窗保持一致,我想问问谁的手机号是:93550104,如果有的话请用这个手机号给我打个电话,没有这个偏移基址,没法解析数据,大家的微信版本用的都不一样,我得一个个去下载适配之后才能用。参考issue315, #308 #185
而且这个偏移基址所有人都一样,只跟微信版本有关
📝 补充信息 | Additional Information
发现这种文章欢迎大家去举报,也请各位“专家”亲自跑一下代码,看看是什么东西再说话
The text was updated successfully, but these errors were encountered: