為什麼豌豆莢可以在應用安裝完成介面打廣告?

androidwing發表於2018-12-29

本文同步自wing的地方酒館

2018年過去了,好像今年沒寫什麼文章,主要是過了寫文章的年紀,不過有遇到奇聞軼事或者好玩的,還是會記錄下來給大家,一起樂呵樂呵。

跟Iphone X沒有太大的緣分,再螢幕又掛了之後,果斷搞了一臺邁凱倫定製版Android機,正當嗨時,發現使用豌豆莢安裝應用完畢的時候,會彈出推薦相關應用的廣告,如下圖:

為什麼豌豆莢可以在應用安裝完成介面打廣告?

在厭煩的背後,也讓我有了好奇心,這是怎麼做到的? 為什麼安裝完成的介面會有廣告? 為此我將從豌豆莢下載安裝的app和正常安裝的app進行了對比。

正常安裝

普通安裝

豌豆莢安裝

豌豆莢安裝

觀察

通過觀察 我們發現,居然安裝完畢之後,居然不是同一個Activity,為此,我開啟了我的DroidSword外掛,來觀察安裝完畢的Activity到底是何方神聖。

從DroidSword中我們可以看出,安裝完畢以後並非系統Activity:

為什麼豌豆莢可以在應用安裝完成介面打廣告?

而是 com.pp.assistant.install.installfinish.InstallFinishActivity.

(PP跟豌豆莢合併了?)

什..什麼?? 為甚安裝完畢的Activity是他自己的Activity,那系統的Activity去哪了?被幹掉了嗎?Android真的不安全,假想一下,如果其他App掌握了這個技術,我在一個商城下載了美團,直接彈出餓了麼,那是多麼可怕的一件事情。

好吧,這不是我們今天的重點,我們今天的重點是,豌豆莢是如何把系統的安裝介面給幹掉了。

為什麼豌豆莢可以在應用安裝完成介面打廣告?

破案

於是我就開始沉思,猜測這是怎麼實現的。通常的做法是做一個Recevier ,監聽完畢,然後關閉掉系統安裝完成的Activity,彈出我自己的Activity,可是我如何關閉Activity呢。我為了安全起見,並沒有root和給豌豆莢授權輔助功能,所以豌豆莢並沒有辦法幫我關掉Activity。那這到底是什麼黑科技呢?

於是我開啟了debug之路,開啟DroidSword ,並且開啟“除錯所有應用”功能,就可以debug任意一個App了,這個功能要感謝XInstaller,因為實在太好用了,為了方便,我就移植到了DroidSwrod中。

為什麼豌豆莢可以在應用安裝完成介面打廣告?

除錯之路漫漫,從InstallFinishActivity 除錯到 startActivity的入口,糾結了很久,都沒有發現是如何kill掉系統安裝完畢的Activity的。

可以拿到的情報就只有註冊了一個StaticPackageReceiver,在這個Receiver裡面,做了對新安裝應用的監聽,以及包名的判斷,最終判斷是否豌豆莢推薦來的來啟動InstallFinishActivity。

這裡有個疑問先賣一下關子,為什麼豌豆莢要判斷是否豌豆莢安裝的應用才啟動他的Activity,如果有黑科技,那麼全程所有安裝都替換掉,賣廣告豈不是美滋滋?

之後開始懷疑,是否是自己實現了一個安裝檔案的Activity,可是又好像自己實現的話,並沒有許可權可以這樣做。 然後觀察豌豆莢的轉跳安裝頁面,也確實只是系統的


com.android.packageinstaller.PackageInstallerActivity

複製程式碼

那也就是說沒有自己實現一個安裝時候的Activity。而且DroidSword也看不到在從豌豆莢轉跳到安裝介面的時候,有另外一個Activity彈出。

哎,愁啊,發愁啊,他到底怎麼實現的呢,在我毫無頭緒的時候,突然一個意外點選事件,提示了我:

為什麼豌豆莢可以在應用安裝完成介面打廣告?

WTF

這什麼鬼,說好的豌豆莢自己沒有實現一個安裝程式呢? 難道是DroidSword 有問題了?他顯示的完全就是系統的安裝器啊! 於是我點選了下去,選擇了豌豆莢的安裝器。然後我發現。。。。

為什麼豌豆莢可以在應用安裝完成介面打廣告?

豌豆莢居然顯示 安全安裝(推薦),加粗 ,必須加粗!!

打廣告也就算了,還把我係統安裝器hook掉了,hook掉也就算了,你居然誤導使用者以系統的身份來開啟你的安裝器,去接受你推薦的廣告。。 真是不敢想象如果一個小白使用者,不小心點選了始終,每次安裝都會強行,被迫接受來自豌豆莢的廣告。這也有點太【文化人】了。

吐槽完畢,然後我開啟了豌豆莢的安裝器,發現 。。臥槽!!!!轉跳的還是系統的com.android.packageinstaller.PackageInstallerActivity,並且沒有被DroidSwrod抓下來,什麼Gay ,我現在一臉黑人問號,就像這樣:

為什麼豌豆莢可以在應用安裝完成介面打廣告?

好吧,不知道做了什麼么蛾子,只能全域性搜尋安裝apk時候使用的URI了。結果果然發現一個問題:

在豌豆莢的清單檔案中,發現了一個Activity,他接受了與系統安裝器同樣的URI:

為什麼豌豆莢可以在應用安裝完成介面打廣告?

那結果很明確了,肯定是用這個Activity作為跳板,然後轉跳到系統Activity了。那為什麼DroidSword會跟蹤不到呢?於是我開啟了這個Activity。。然後發現了。。

為什麼豌豆莢可以在應用安裝完成介面打廣告?

他並沒有setContentView,而是給自身windowmanager加了個new view(),layoutParams 寬和高設定的大小是v4,而v4是。。

為什麼豌豆莢可以在應用安裝完成介面打廣告?

v4是 -2, -2好像是

 public static final int WRAP_CONTENT = -2;

複製程式碼

也就是說,這個Activity 根本! 沒有! 大小!! 簡直比1dp Activity還可怕。 那他做了什麼事情呢,是如何幹掉系統的安裝成功頁面的呢?繼續跟蹤呼叫棧最後肯定是轉跳到系統安裝的Activity。只不過在之前,對intent做了包裝處理:

在apk版本為:Wandoujia_484050_web_seo_baidu_homepage.apk的混淆下,有一個類叫做:

.class public final Lcom/pp/installhook/e;
複製程式碼

這個類就是從豌豆莢安裝中轉Activity轉跳來的,他對intent做了個加工:

為什麼豌豆莢可以在應用安裝完成介面打廣告?

他把普通跳轉系統安裝Activity的Intent增加了一個Extra ,key為:android.intent.extra.RETURN_RESULT,值為true。 不知道這個會有啥效果,於是我寫了個Demo,執行一下,發現~!!! 安裝完成的介面居然沒有了。。 也就是說,系統安裝完成的Activity 是可以通過這個extra給幹掉的。

結果

最終總結一下豌豆莢是怎麼實現的,就是先起了一個監聽器,安裝完畢會判斷包名來決定啟動不啟動他自己的廣告頁面,現在也可以解開疑問了,為什麼要判斷呢,不判斷豈不是更好? 原因就在於,再外調起的安裝Activity一般是不帶android.intent.extra.RETURN_RESULT引數的,所以都會調起系統自身的安裝完成頁面。 如果豌豆莢不判斷包名,那麼會同時彈起系統的和他自己的廣告頁,這時候就東窗事發,做的事情大白於臺下,會影響口碑。

我按照豌豆莢的實現,自己寫了個Demo,結果如下,效果一毛一樣。

為什麼豌豆莢可以在應用安裝完成介面打廣告?

試想一下,如果這個頁面不是廣告頁,而我把安裝美團成功後的頁面調起為餓了麼頁面(這裡只是舉例,與美團餓了麼無關),無論對使用者還是企業,都是一種巨大的傷害。

反思

我沒有root也沒有給輔助功能許可權,就可以有這麼大的本領,來把系統狸貓換太子。 那實在是不敢想,如果我有root許可權呢? 恰好是小白使用者選擇了預設通過授權呢? 這些擁有root許可權的App會做什麼事情? 細思極恐。作為Android使用者,我們如何才能保護好自己?


歡迎加入Android開發 QQ群:425983695

相關文章