事件原因
- 平时微信会封禁的账户类型(诈骗,色情营销,吸粉账号等)。
- 手机上安装了 Xposed 框架并激活了修改微信相关模块的用户。
- 在手机上安装了 Magisk 框架并且激活了 Systemless Xposed 的用户。
- 只在手机上安装了 Xposed 或 Magisk 框架但没有激活的用户。
- 一部分只 ROOT 手机的用户(存疑)和使用越狱后 iOS 的用户。
- 使用手机自带/第三方的微信分身功能同时使用多个微信账户。
- 少部分什么都没装无辜躺枪的 Play 商店版微信用户(一脸懵逼)。
Xposed 是什么?
先给不知道什么是 Xposed 的派友介绍一下什么是 Xposed。我的文章「关于 Android 7.1 的 Xposed,你想知道的都在这」有全面的介绍,给「太长不看」的派友截取一下关键内容:
Xposed 是一个 Android 平台上的动态劫持框架,通过替换手机上的孵化器 zygote 进程为 Xposed 自带的 zygote,使其在启动过程中加载 XposedBridge.jar,模块开发者可以通过 jar 提供的 API 来实现对所有的 Function 的劫持,在原 Function 执行的前后加上自定义代码。
说成人话就是 Android 上所有正在运行的应用程序都是通过一个万物之主 —— Zygote 创造出来的,但是这个万物之主不听我们的话呀,Xposed 就是把这个万物之主换成自个家的,然后用一本天书(就是前面的 XposedBridge.jar)和他沟通,就可以实现对于系统上任意程序任意数据和行为运行前后的修改,至于我们不会写天书或者读懂天书也没关系,只要我们下载已经写好的天书(模块)就可以完成特定的需求。
这么强力的一个框架,自然要考虑它的安全性。Xposed 框架和安装器本身完全开源,而模块开发者们也倾向于把自己开发的模块完全开源,使用 Xposed 本身和管理器里面的开源模块完全不用担心安全问题。
- 某模块通过 Hook(钩住)微信摇骰子函数实现自定义骰子数,想扔多少点都可以;剪刀石头布更是要啥有啥,这些都是各赌博群的最爱。
- 某模块通过 Hook 相关函数后,可以实现消息自动回复和针对关键词回复,通过个人号进行色情营销肯定少不了这个。
- 某模块 Hook 朋友圈和转发相关函数后轻松实现成千上万条信息和朋友圈的转发,之前淘宝或者论坛上很多所谓的「营销微商」神器就是一台装了 Xposed 框架和模块的手机,几百块的垃圾手机加上免费的 Xposed 卖上万块都有一大堆微商排着队抢。
更别说抢红包和伪集赞等「基本功能」,我自己也拒绝过几次灰产黑产主动找上门的「生意」。任何 App 上的任意一行代码都可以通过 Xposed 篡改,这就导致了很多恶意模块的诞生 —— 只要一个会 Android 开发的程序员加上一笔钱,你就无所不能。
本次封号的争议
这原本是大快人心的一件事情,可是这次封号却引来了一片骂声,甚至工信部的微博都被投诉评论刷屏。
Android 系统是开源的,用户自己的手机喜欢装什么软件、ROOT 手机、安装 Xposed 框架和模块都是他/她自己的权利,甚至用户在手机里装病毒软件也是他/她的权利,杀毒软件只能提示某应用有毒让用户手动删除而不能自己偷偷地就把应用卸载掉。
如何规避风险?
确认封号风险:Xposed Checker
所谓「八仙过海,各显神通」,通过不同方法反检测之后想要继续使用 Xposed 和 ROOT 的派友可以通过 Xposed Checker 检查自己是否还有被封号的风险。
Xposed Checker 从日常检测 Xposed/ROOT 的应用中提取出检测代码片段,通过这些片段检测你的反检测手段是否可靠,应用本身也写到了各种检测方法的原理,只需要全绿就证明一般检测手段都无效,可以放心使用。
附:检测各种用户行为的技术
随着几大公司的带头,越来越多的银行、社交应用、游戏都开始检测 Xposed 和 ROOT,所用的检测方法也越来越复杂,甚至不惜侵犯用户隐私。
以某聊天 APP 为例,通过本地和服务器端来检测用户是否有违规行为。
- 我们安装这个 App 的时候给了它扫描应用列表的权限,然后它只要扫描到 Xposed 的包名知道我们安装了框架,但是并不能知道我们有没有激活模块。
- 检查/system/bin/ 与/system/xbin/ 两个目录是否存在su 文件,存在则表明系统已经被 ROOT。
- 利用抛出异常的方式查看函数调用栈,简单来说就是通过每次运行一个函数后检查这个函数调用过程中相关的进程,一旦发现调用栈中有第三方包名(比如 Xposed),就可以认为函数已经被 Hook 了,这种方法检测较为准确。
- 只要我们授权给应用电话权限,这个应用就能拿到设备的 IMEI 识别码,每台设备的识别码都是不同的。如果服务器检测到两个账号同时通过一个 IMEI 设备登录并且这个应用不允许单设备多账号登录,那么很明显 —— 用户用了应用分身。同样方法也可以检测出模拟器用户。
后记
閱讀更多 少數派 的文章
