Wecheck!微信审查系统的一个案例

资安 阅读次数:

微信对于私人聊天的监控和审查以及隐私数据的收集无孔不入,这也是俄罗斯,印度等国家防范这个平台的重要原因。但是外界对这套审查系统都是盲人摸象,只能从一些侧面窥其一二,比如被吃消息,被喝茶等。

最近,我偶然从另一个角度探索了一下这个黑盒子。我在微信上给朋友分享了一个我搭建的电视直播系统的Android app, 使用的时候它会连接到我的服务端后台请求授权。
结果在链接发出不久之后,我就在后台看到一个 ip 是广东腾讯云和一个上海电信的 Android 模拟器(Mac 地址都是 02:00:00:44:55:66,设备都是 Pixel 3 XL)发来的授权请求。之后,我又给朋友发了另一个版本的app,这次也毫无意外地收到了同样广东地址发来的授权请求,由于我是从 Google Drive 分享出来的文件,所以我又去后台查看了文件的下载记录,发现在链接发出之后几分钟之内便被下载了九次之多,我朋友只下载了一次。为了验证一下这套机制,我又给我的 app 改了个文件名,再发给朋友,然后也在 Google Drive 发现文件被多次下载,这次等待了很久也没见到广东地址的授权请求,于是我猜测这些被下载的 app 会存到同一个系统里比对 hash 值,相同的被审查过的 app 不会再次被安装审查。为了验证这个猜想,我就对 app 做了一点点修改,然后重新签名,这样它就不会被认为是和之前同一个 app 了,然后在微信消息发出之后,果然又被安装了。

所以结论如下:

  1. 分享的链接会被审查系统在多个节点打开或下载;
  2. apk 文件会被放到广东或者上海的模拟器上安装审查;
  3. 名字不同的相同文件会被重复下载,但是下载完之后会和先前的审查过的文件比对,不会重复审查。

上图:
服务端后台记录,

时间线,

文件被多次下载,

修改名字之后,

app 重新签名之后,

ip地址查询

上一篇 2022-04-22
下一篇 2020-05-26