Android 台灣中文網

標題: 由黑函事件討所Android系統資訊安全問題 [打印本頁]

作者: littlemiko 時間: 2017-8-27 14:18
標題: 由黑函事件討所Android系統資訊安全問題
本帖最後由 littlemiko 於 2017-8-27 15:00 編輯

最近登入，飛人大軍們紛紛收到黑色警告信－俗稱黑函

內容直指玩家使用作弊程式，看來再用下去，之後可能再也無法登入
（卡在retry畫面，俗稱加入紫軍）

但這一波黑函風波，卻有一批玩家仍然開心地飛來飛去，在論壇上分享甚至不知道啥叫黑函，後來發現

原來他們都使用蘋果手機！也就是系統是iOS

這導致一個很嚴重的問題－為什麼偏偏就是Andorid玩家會收黑函？而用iOS系統就沒事？

其實本來依照我想法，要抓飛人是極度困難的，原因是無論你用啥牌子Fake GPS
開啟之後，如果你有點Google Map，看自己位置，你就會發現，他欺騙對象就是手機
讓手機以為他就在該位置

也就是Pokemon Go若單純由手機拿GPS資訊，那當然是抓不到的

但現在問題就是Andorid玩家，被抓到使用飛人程式

只有一個可能－
iOS是封閉系統，Pokemon GO本身無法得到除了GPS以外的更多資訊，因此抓不到

而Andorid是開放系統。

是不是除了GPS資訊以外，Pokemon GO App還拿到更多資訊？？

如果是的話，那我覺得問題是蠻嚴重的

極端一點的例子，那Pokemon Go是否也能不經你同意，去拿你的通訊錄？甚至更極端點的，輸入過的FB密碼等？

當然我相信N社道德上不可能這麼做，但如今可看出的是

Android玩家，在使用Pokemon Go，相較於iOS玩家，被拿到更多資訊？

也許是IP位置？或是電信商供應者？或者是詳細的海拔高度資訊（Fake GPS無法模擬的）？

無論如何，Pokemon Go今天寄黑函，自然是無可厚非，用飛人的該死。

但如果Pokemon Go利用的手段是，利用andorid系統的問題，拿取比iOS更多資訊，那我會覺得.....這當然不公平，也突顯出Andorid系統更多的安全漏洞....

作者: ph7027 時間: 2017-8-27 14:46
我的看法是外掛是從遊戲本身再延伸出來的做弊方式遊戲公司有權停掉或取消玩家資格
但虛擬位置並不是針對這個遊戲特別去開發的是玩家發現可以跟遊戲結合你抓就不合理
遊戲公司要停就停我是不想再轉陸軍

作者: kaoos 時間: 2017-8-27 14:49
雷達地圖不就是用第三方軟體登入去做偵測?陸軍用雷達地圖也是做弊，擋飛人前應該先砍雷達地圖

作者: files0203 時間: 2017-8-27 14:50
遊戲帳號被停權是小事
但是,從遊戲程式裡,或其他非法手段拿到玩家的手機資料.就觸犯隱私權了
這種遊戲公司應該會被告到不省人事吧?

作者: littlemiko 時間: 2017-8-27 15:07

kaoos 發表於 2017-8-27 14:49
雷達地圖不就是用第三方軟體登入去做偵測?陸軍用雷達地圖也是做弊，擋飛人前應該先砍雷達地圖 ...

這就是我說的啊

之前陸軍大討論區，罵這裡罵得可兇～～

最早是罵外掛、小黑窗

等小黑窗全死光後，就開始罵飛人

但一邊罵著，一邊炫耀著「我今天打到IV100的寶可夢」唷^^
哇靠～不藉由第三方軟體你怎查到IV的？當然如果是升級升滿，查滿IV會對應的CP，當然心安理得，但圖貼出來，一堆等級沒升滿的XD....

然後雷達被鎖也是戰翻天，讓人忍不住想嘲諷，雷達不就是你們口中最讓人痛恨的飛人飛出的資訊？還是有笨蛋以為那些是玩家提供的。還幾點幾分在哪、技能是啥、IV多少都好心查給你勒

官方不給我用雷達該死，但官方開放飛人也該死，這就是某些人的神奇心態

作者: su800705 時間: 2017-8-27 15:37
GPS不只有位置還會有高低變化
他也有可能偵測出來你的高低變化都是0這種方式

但我覺得原因應該是如你所說的ANDROID的權限問題

作者: littlemiko 時間: 2017-8-27 16:57
我覺得大家都有點偏離主題了....

現在問題是iOS沒事，只有一個可能就是：
Pokemon Go 在Andorid系統可以撈到更多資訊

這我覺得是嚴重的問題，我用最極端點地情況說，如果多撈的是你FB帳號密碼？

別說不可能......

作者: 吳祐華 時間: 2017-8-27 17:04

su800705 發表於 2017-8-27 15:37
GPS不只有位置還會有高低變化
他也有可能偵測出來你的高低變化都是0這種方式

android gps的api 至少可以取得經緯度、海拔、速度、精確度（可以參考google android api）
pokemon apk的程式碼也看不出來他哪裡只看兩個維度而已（不知道在這裡放上程式碼會不會被告暫時不放）
我其實不懂你為什麼覺得pokemon只看兩個維度
根據目前api給的資料，光是這些數據就有很多奇怪的數據了
其實不需要取得手機的其他資料，官方也不可能不知道這樣會侵權
更重要的是到底誰說ios沒有災情的....
https://pokemongohub.net/post/breaking-news/new-niantic-security-measure-targets-gps-spoofers-warnings-issued-future-bans-possible/
上面的網址有一句According to the following two reports, GPS spoofers on both mobile platforms are affected:
簡單翻譯就是andoird跟ios都收到警告了

作者: saber5300012 時間: 2017-8-27 17:07

su800705 發表於 2017-8-27 15:37
GPS不只有位置還會有高低變化
他也有可能偵測出來你的高低變化都是0這種方式

估狗地圖是有提供海拔的參考資料
但是寶可夢的地圖看來很明顯的就只是調閱估狗地圖資料而不是衛星圖
你要AR又要及時定位和處理....真的想太多了

你知道高度要怎麼測量嗎更不要談定位了
目前衛星提供的海拔資料精準度都不是很好大都是僅供參考

你在山上爬樹但是你手機的高度只會寫山上的高度而不是山上+樹的高度

作者: 吳祐華 時間: 2017-8-27 17:17

saber5300012 發表於 2017-8-27 17:07
估狗地圖是有提供海拔的參考資料
但是寶可夢的地圖看來很明顯的就只是調閱估狗地圖資料而不是衛星圖
你 ...

我自己也是unity andoird遊戲開發工程師
你覺得我在誤導人...
我現在知道為什麼大家不回答你了
我不會再回答你的問題

作者: saber5300012 時間: 2017-8-27 17:25

saber5300012 發表於 2017-8-27 17:07
估狗地圖是有提供海拔的參考資料
但是寶可夢的地圖看來很明顯的就只是調閱估狗地圖資料而不是衛星圖
你 ...

那就拜託你貼出代碼哪裡有測高度並且應用你隨便講講大家就要相信你嗎?
你真的很奇怪每次講的都好像"你是高手不認同我就代表你有問題"
證據呢? 阿不是要貼代碼? 怕被告? 你在這用非人和bot早就犯罪了

還是你家裡有很多顆衛星超越估狗人家定位誤差至少有1~2order 最小也有10公尺
這些都不用談
我真的不相信現在目前的高階手機能夠AR又三維資料(假設有一衛星群叫吳祐華精準公分等級)
不要說你手機了
任天堂先炸給你看高度100M 有隻比雕還是怎樣地底有隻地鼠
而且寶可夢GO完全是平面 2維你學過數學嗎?

你再不拿出證據我拒絕回文了

作者: federer4ever 時間: 2017-8-27 17:31
寶可夢的地圖應該是平面的吧？！比如我跑去101樓上開遊戲我還是站在地上啊…

作者: h12361414 時間: 2017-8-27 19:33

saber5300012 發表於 2017-8-27 17:25
那就拜託你貼出代碼哪裡有測高度並且應用你隨便講講大家就要相信你嗎?
你真的很奇怪每次講的都好像"你 ...

飛人犯罪？
可以請教一下違反了那條法律嗎？

作者: 711219 時間: 2017-8-27 22:04
如果是未經同意而取的手機安裝模擬GPS資料來判定為飛人，
那我只安裝作其他用途，並非拿來玩寶可夢，那我還會收到黑函嗎?(前提是沒外掛、沒查IV等等)
如果收到，的確資料有外洩的疑慮了...

作者: saber5300012 時間: 2017-8-27 22:12
昨天我還嘴硬用安卓6.0沒事今天我收到黑函了

之前Z大所講的果然有幾分道理就是把安卓更新到最新版本然後刷機

我覺得應該統計一下是否有飛友純IOS飛沒事的

作者: keithjuo 時間: 2017-8-27 23:00
雖然覺得很X，不過我還是屈服了，買了一隻iphone 6+Go Plus手環掛機...因為我好不容易躲過3,4月份的大鎖風暴，不想再被鎖...
使用心得:雖然偶而還是會斷線，不過抓寶速度實在很快，唯一的問題就是紅球永遠不夠用...
按慣例，黑函出現一陣子後會消失，但接著N社就會開始清算，只是不曉得接下來是執行永久鎖還是暫時鎖...

作者: pegasus222 時間: 2017-8-27 23:02
假設一種情形 : 遊戲公司透過 Android 系統取得下列資訊, 那就可以準確的狙擊飛人玩家
1. Android 安全性在 2017/3/1 之前
2. 有開啟開發人員模式的"選取模擬位置應用程式"
3. 有安裝並執行 fly GPS / Fake GPS 等 app
如果你符合上述三點, 那你就是觀察名單, 之後只要檢查你這幾天拜訪的道館歷程, 那就可以寄出黑函了

如果上述假設成立, 那我只能問 "遊戲公司是否有權利或是得到用戶允許, 取得用戶的設定與安裝的軟體資訊 ? 這樣是否合法 ??"

以上是單純個人的推想, 在沒有釐清與證實前, 我將對遊戲公司與 Android 系統抱持懷疑與不信任~

作者: seele1219 時間: 2017-8-27 23:49
先提醒一下...

1. 這遊戲是NIA開發的, 不是任天堂(單純提供授權)
2. 安卓會抓取使用者APP清單做回報(系統APP不確定)
3. wifi/GPS偵測嚴格
4. 有無root(safteynet會先檔)
5. 有無開啟模擬GPS(開發者模式)
6. 上網方式

安卓是google開發的系統, NIA以前是負責google MAP專案
蘋果系統較為封閉, 應該無法有效得取使用者的app清單
或許是"較為安全(我指fly)"的原因

作者: musi 時間: 2017-8-28 10:11

seele1219 發表於 2017-8-27 23:49
先提醒一下...

1. 這遊戲是NIA開發的, 不是任天堂(單純提供授權)

如果寶可夢公司判斷飛人標準有包含APP清單，那修改一下該APP相關資訊，這樣應該就抓不到吧!

作者: littlemiko 時間: 2017-8-28 10:41
Pokemon Go 在Andorid系統可以撈到更多資訊

其實我覺得這個問題真的蠻嚴重的，在這個專門討論Andorid的平台居然沒人重視....唉

作者: pegasus222 時間: 2017-8-28 11:35

littlemiko 發表於 2017-8-28 10:41
Pokemon Go 在Andorid系統可以撈到更多資訊

其實我覺得這個問題真的蠻嚴重的，在這個專門討論Andorid的平 ...

期望有高手來證明 " 遊戲公司到底從 Android 用戶身上取得那些資訊? "

作者: b8892778 時間: 2017-8-28 11:37

pegasus222 發表於 2017-8-28 11:35
期望有高手來證明 " 遊戲公司到底從 Android 用戶身上取得那些資訊? "

Google play Service

結束~

作者: polnav2 時間: 2017-8-28 11:44

littlemiko 發表於 2017-8-28 10:41
Pokemon Go 在Andorid系統可以撈到更多資訊

其實我覺得這個問題真的蠻嚴重的，在這個專門討論Andorid的平 ...

就個人而言，手機就當手機用，遊戲機就當遊戲機機，世上沒有絕對安全的的平台，重點在如何控制風險!
iPhone 可能是風險較低，但內部員工要偷個資，也不是不可能!!

Android 風險較高也是應當的，因為上架審核機制較輕浮，有心人很容易藉此作怪!!

作者: files0203 時間: 2017-8-28 11:52
手機遊戲界的稜鏡計劃（PRISM）

作者: sedgfeg 時間: 2017-8-28 11:53
有仔細看過飛人與陸軍，在定位之差嗎?
使用虛擬定位，手機定位不會顯示以定位到，程式光用這一點就可以抓到是否為飛人，在判定是否使用GPS就可以查出來了，第一天當飛人就看到此差異了。
蘋果也是有人收過黑函。
會收到黑函是使用虛擬定位軟體的差異。

作者: dacapobid 時間: 2017-8-28 11:59
少部分iOS使用者被ban我猜是飛得太誇張或軟便太多次, 不然根據軌跡來抓人不會有Android數量遠大於iOS的狀況.

所以推測會不會是...

1. Android 6.0以後模擬位置的問題?
(遊戲可能透過某種方法得知目前GPS來自系統or第三方)
2. 模擬GPS軟體會跳回原始位置的問題?
(server抓到跳來跳去的GPS座標判定有用虛擬)
3. FlyGPS被列入黑名單?
(遊戲可能檢查目錄找到FlyGPS安裝的痕跡, 或者檢查執行中的process清單發現有FlyGPS)

個人推測N社應該不至於掃描安裝軟體列表, 而且有安裝也不代表在遊戲過程有用. 他要寄黑函總要有一些用合法方式取得的證據, 不然被使用者告的話怎麼辦?

有網友能實驗一下其他GPS模擬軟體, 或是Android 5.0/4.0將GPS模擬軟體變成system service也會被抓包嗎?

作者: littlemiko 時間: 2017-8-28 13:14

dacapobid 發表於 2017-8-28 11:59
少部分iOS使用者被ban我猜是飛得太誇張或軟便太多次, 不然根據軌跡來抓人不會有Android數量遠大於iOS的狀況 ...

FlyGPS被列入黑名單?
(遊戲可能檢查目錄找到FlyGPS安裝的痕跡, 或者檢查執行中的process清單發現有FlyGPS)

這個不用實驗了....我朋友一堆都不是用FlyGPS....更多好用的fake GPS APP

一樣的是大家全收了

作者: jl_0000 時間: 2017-8-28 14:20
如果他亂抓你資料，你有證據，可以告他。基本上抓執行中的 process name大概就知道是不是飛人了。怕被鎖帳就乖乖玩，別想飛又罵官網不給人飛，遊戲公司本身的規則就是要你用走的。

作者: dacapobid 時間: 2017-8-28 14:39
那有人Android 4.x 或 5.x註冊系統app, 飛bot帳號, 正常飛也收到黑函的嗎?

作者: amen4bbs 時間: 2017-8-28 14:39
我目前比較傾向遊戲是抓正在執行的程式名單, 當作有使用模擬 GPS 的判斷.
之前有人說模擬 GPS 只模擬座標點, 沒模擬海拔高度,
但是 Android 跟 iOS 的模擬 GPS 基本上那麼多,
沒理由 Android 的幾乎都中標, iOS 的很少聽說被列黑函之列.
IP 的問題, Android 跟 iOS 也是站在同樣的基礎點, 也沒理由 Android 的中招較多.
我用的地圖趴趴走, 就是安裝成 system apps, 最新的 1.2.9 版,
還修了一些模擬更多實際 GPS 的行為, 目前看起來可能也無效.
如果真的是用執行程式的名單來判斷的話, 我想地圖趴趴走的作者應該
也可以想到方法來避這問題, 只是現在大家都還在猜測如何判斷,
也還沒真的證實, 證實之後應該可以避

作者: oktim 時間: 2017-8-28 14:46
iso只有一個poke++ 所以難抓,Andriod 就不同,所以好抓

作者: dacapobid 時間: 2017-8-28 15:05

amen4bbs 發表於 2017-8-28 14:39
我目前比較傾向遊戲是抓正在執行的程式名單, 當作有使用模擬 GPS 的判斷.
之前有人說模擬 GPS 只模擬座標點 ...

感謝提供資訊, 請問您的Android是哪一版的? 目前有收到黑函嗎?

我的推論跟您類似, 只是覺得N社應該不會單純找執行中app吧?

這樣不是有可能process在背景沒砍掉, 但是實際上當下是陸軍被誤判的case嗎?

作者: dacapobid 時間: 2017-8-28 15:06

amen4bbs 發表於 2017-8-28 14:39
我目前比較傾向遊戲是抓正在執行的程式名單, 當作有使用模擬 GPS 的判斷.
之前有人說模擬 GPS 只模擬座標點 ...

作者: amen4bbs 時間: 2017-8-28 15:25

dacapobid 發表於 2017-8-28 15:05
感謝提供資訊, 請問您的Android是哪一版的? 目前有收到黑函嗎?

我的推論跟您類似, 只是覺得N社應該不會 ...

我的 Android 是 4.4.4 的, 有收到黑函,
不過一般人應該不會把模擬 GPS 跑起來,
又都一直當陸軍吧, 一定還是偶而有用來飛.
我星期四五兩天用另外一支手機當陸軍,
不過兩天似乎也還沒辦法漂白.

作者: yamida 時間: 2017-8-28 15:41
敝人這幾天的測試，得到一個結論『勿再使用Gmail帳號飛了』，會被google service出賣，因為不管你如何改變gps位置，google play總是知道你位置是假的，就連chrome瀏覽器，當你使用虛擬gps時，它竟顯示你在『台灣』，但當你關掉虛擬時，它會顯示出你在如：中正區，台北市。而我使用ptc舊帳號(L21)，連續4天固定在巴西某公園，純抓怪不亂飛，都沒事；而23號新創gmail,只在新北新莊抓犀牛、刷補給站升等，L20今天收黑函，故我不再相信gmail了，且23號出事時，我一個在墨西哥的ptc帳號也沒事，有事的都是gmail 。(註：以上僅供參考，本人所有帳號，純飛、無bot、無登入查iv)

作者: polnav2 時間: 2017-8-28 20:35

yamida 發表於 2017-8-28 15:41
敝人這幾天的測試，得到一個結論『勿再使用Gmail帳號飛了』，會被google service出賣，因為不管你如何改變g ...

原本已經忘記我用哪個 email申請寶可夢，剛剛查了很久，終於找到以前的筆記，用的是 gmail 且在這台手機上有設定同步，從去年飛到現在，沒事!!

作者: yamida 時間: 2017-8-28 20:40

polnav2 發表於 2017-8-28 20:35
原本已經忘記我用哪個 email申請寶可夢，剛剛查了很久，終於找到以前的筆記，用的是 gmail 且在這台手機上 ...

恭喜您沒事。
如果是ios那不用擔心。
若是安卓，還是要小心。

作者: polnav2 時間: 2017-8-28 20:54

yamida 發表於 2017-8-28 20:40
恭喜您沒事。
如果是ios那不用擔心。
若是安卓，還是要小心。

會不會這只是N社的一種手段，其實要判斷飛人實在是很容易，但N社似乎沒有通殺，只是找部分開刀，引起話題，而且黑函好像不會鎖死，可以直到下次新活動時，順勢再大赦，凝聚人氣!!

作者: wstung 時間: 2017-8-28 21:05

yamida 發表於 2017-8-28 15:41
敝人這幾天的測試，得到一個結論『勿再使用Gmail帳號飛了』，會被google service出賣，因為不管你如何改變g ...

其實我也是想就這個部分請教各位先進，
我在用Fly Gps到美國芝加哥時，手機的天氣軟體還是顯示在台北市的某某區，
要經過一段時間後，才會顯示芝加哥，
反之，飛完芝加哥，Fly Gps 脫離後，還要經過一段時間才會顯示台北市，
而我的帳號會收到黑函的，恰巧都是在這段時間登入的。

我的帳號全待在台北市的40個帳號，完完全全都沒有收到任何的黑函。
而前幾天於芝加哥登入的帳號，若是手機的天氣顯示台北市的，登入芝加哥立馬收到黑函。
若是顯示芝加哥的，反而沒收到，直到隔日再登入時才收到黑函，
此時手機的天氣顯示亦是在台北市。

曾經待過芝加哥的，由於8/6 後因出國未登入，最近於台北市登入也幾乎沒有收到黑函。
但是，唯一在台北市登入有收到黑函的是在飛完芝加哥後關掉Fiy Gps後，
在我家開啟帳號時，收到了黑函......

所以，想要請教的就是，為何我GPS飛到了芝加哥，可是手機的天氣還是顯示在家裡，
這樣的不同顯示會不會是被發黑函的主要依據，還是............我想太多了。

作者: polnav2 時間: 2017-8-28 21:14
本帖最後由 polnav2 於 2017-8-28 21:17 編輯

wstung 發表於 2017-8-28 21:05
其實我也是想就這個部分請教各位先進，
我在用Fly Gps到美國芝加哥時，手機的天氣軟體還是顯示在台北市的 ...

剛剛看一下，我的手機天氣一直在台灣，想說為何會沒事? 查一下才發現是設定手動更新，更新時間2016.....
後來手癢按一下更新，竟然顯示到我目前所在地了! 問題是我GPS模擬器仍開著，打開 Google Map 定位顯示在國外，但天氣為何能準確定位?
太可怕了!!
不過我心臟太小了! 不然現在登入寶可夢就可以知道是否有關了....

作者: wstung 時間: 2017-8-28 21:42

polnav2 發表於 2017-8-28 21:14
剛剛看一下，我的手機天氣一直在台灣，想說為何會沒事? 查一下才發現是設定手動更新，更新時間2016.....
...

.........................好想知道你登入寶可夢會不會跟我一樣收到黑函...................
我這樣算是壞人嗎?

作者: su800705 時間: 2017-8-29 02:23

saber5300012 發表於 2017-8-27 17:07
估狗地圖是有提供海拔的參考資料
但是寶可夢的地圖看來很明顯的就只是調閱估狗地圖資料而不是衛星圖
你 ...

所以我手機導航軟體GPS顯示海拔資訊這程式一定很厲害囉?
所以商店內的GPS觀看的APP可以顯示海拔資訊他一定很厲害囉?
POKEMON GO 可以不用在遊戲內把地圖與現實中的高低作結合

但是GPS會回傳海拔資訊
這跟遊戲長怎樣有什麼關係跟2D遊戲有什麼關係????
遊戲中沒利用到這項數值你就說它沒有回傳這數據嗎?

作者: samsonsam 時間: 2017-8-29 04:10
偶試試反過來說。。你按安裝遊戲的那一刻。。是按了同意遊戲拿你電話一堆權限的。。

作者: musi 時間: 2017-8-31 23:00

su800705 發表於 2017-8-29 02:23
所以我手機導航軟體GPS顯示海拔資訊這程式一定很厲害囉?
所以商店內的GPS觀看的APP可以顯示海拔資訊他 ...

遊戲是 2D的，所以它只需要2D的GPS資料，但收資料可以全收，只是不會全部應用而已!
如果遊戲順便把高度拿來檢查，就有機會抓到飛人了! 但遊戲公司不會以此為唯一判斷標準，因為會誤判!!

歡迎光臨 Android 台灣中文網 (https://apk.tw/)