V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ericwyn
V2EX  ›  分享发现

和脉脉斗志斗勇的一个晚上

  •  1
     
  •   ericwyn · 2018-12-12 21:57:47 +08:00 · 11905 次点击
    这是一个创建于 2173 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前言

    脉脉作为一个职场交流的软件,在上面还是可以很快看到很多消息的(职言板块感觉有点类似于职场人的微博?,这个功能还是很赞的

    但是脉脉出了名的恶心是对通讯录的盗取以及胡乱使用,为了不让自己的七大姑八大姨也收到什么“ xxx 把你标记为职场小能手的短信”,又能注册脉脉,于是折腾了大半个晚上

    分析

    首先,脉脉是会读取和上传通讯录的(读取和上传通讯录是不一样的),根据朋友的使用体验,发现应该是第一次注册的时候要求上传通讯录,此后不要求上传通讯录(但是可以手动更新通讯录),而至于读取通讯录的话就不知道了。会有这个结论是因为,当第一次成功注册并且上传通讯录之后,关闭掉对短信的读取权限,软件依然可以正常使用。

    开始注册

    起初希望使用 Google Voice 来进行注册,结果脉脉空有外国手机号输入,而却没有实际的给我的 voice 号码发送验证码....让人抓鸡

    所以就只能使用自己的真实手机号注册了

    但是注册了之后发现一定要读取通讯录并且上传,才能够注册成功。于是我拒绝了,开始了探索怎样才能解决这个问题,成功注册。

    使用权限欺骗

    Android 上面,使用权限欺骗是可以伪造权限的结果,返回给 App 的,但是要基于 Xposed 才可以,我的手机版本是 Android 9,没有 Xposed,所以没办法使用这个,( Xposed 的话似乎是使用 App Ops Xposed ) 就可以了

    在没有通讯录的手机上面注册

    刚好手边有一台刚刚刷好 AOSP 的测试机,于是装了个脉脉,准备注册,结果发现,如果你的通讯录完全是空白的话,他会认为你没有通讯录...软件上面显示的,和你没有启用通讯录权限时候,是一样的....

    添加一个联系人

    然后就添加联系人了,随便添加了一个联系人,重新注册,这个时候就提示联系人太少,无法注册

    添加三个联系人

    随便居然还是提示联系人太少,因为没法知道到底多少个联系人才会解除这个判定,于是决定导入一整批的虚假联系人

    添加多个虚拟联系人

    导出了手机里面的 vcf 格式之后,照着伪造了一份有 100 个虚假联系人的 vcf,再导入其中,用 js 写的一个小脚本,放到浏览器里跑一下就可以了

        let str = ""
        for (let i=100;i<199;i++){
            str += "BEGIN:VCARD\n"    
            str += "VERSION:3.0\n"
            str += "N;CHARSET=UTF-8:辣鸡脉脉"+i+"\n" 
            str += "FN;CHARSET=UTF-8:辣鸡脉脉"+i+"\n" 
            str += "TEL;TYPE=CELL:13500000"+i+"\n" 
            str += "END:VCARD\n"
        }
        console.log(str)
    
    

    复制输出然后粘贴到一个文件,重命名为 .vcf 格式,传到手机里,导入通讯里,于是终于能够通过那一个对联系人的判断了

    后续

    进入软件之后,迎面而来的就是脉脉的老拉新活动,拉一个新用户给老用户发个 5 块钱红包...而具体的操作,自然也是让你选择向你通讯录当中的哪个好友发送“ xxx 把你标记为职场小能手”的消息了...实在是无力吐槽了

    75 条回复    2018-12-14 13:27:21 +08:00
    iX
        1
    iX  
       2018-12-12 22:08:41 +08:00
    然而还是要用脉脉,真香。狗头.jpg
    qq292382270
        2
    qq292382270  
       2018-12-12 22:19:37 +08:00   ❤️ 1
    为你的辛勤劳动点赞 . 但是这种程序实在是让人无力吐槽
    chenjian026
        3
    chenjian026  
       2018-12-12 22:29:11 +08:00
    最喜欢看类帖子了,点赞
    echo1937
        4
    echo1937  
       2018-12-12 22:44:14 +08:00
    还是换个 iPhone 吧
    EugeneYWang
        5
    EugeneYWang  
       2018-12-12 23:14:22 +08:00
    说得好,我选择用 LinkedIn
    kakudesu
        6
    kakudesu  
       2018-12-12 23:26:52 +08:00
    这。。。有点恶心,坚决不用
    orangeade
        7
    orangeade  
       2018-12-12 23:55:54 +08:00 via Android
    我选择不用,而且脉脉帖子谷歌就能搜到,没必要装 app
    hlwjia
        8
    hlwjia  
       2018-12-13 01:09:42 +08:00
    支持!
    huclengyue
        9
    huclengyue  
       2018-12-13 01:13:36 +08:00 via Android
    为什么不用 appops
    secondwtq
        10
    secondwtq  
       2018-12-13 01:26:30 +08:00   ❤️ 2
    @echo1937 脉脉把从软件业的 EULA 一路传承下来的传统发扬到了极致,直接要权限不给通讯录就不能用,iOS 根本没有区别,反而由于 iOS 本身不是可编程的,不配称为“智能”手机的操作系统,伪造通讯录更麻烦

    因为我联系人都在 Google 帐号里面,所以直接把 Google 帐号绑定删掉清联系人,然后照楼主的方法重新搞了一份 vcf,iOS 不能直接导入还得稍微 workaround 一下

    然而最讽刺的是,我以不想卖朋友的信息为动机,折腾了半天,并没有办法避免通讯录里面有我的同事 /同学把我卖掉 ...

    所以楼主最好搞个阿里小号之类的试一发?
    squid157
        11
    squid157  
       2018-12-13 03:14:44 +08:00
    @secondwtq iOS 上也这样?这样就违反 App Store Review Guidelines 的 5.1.1 (iv) 部分了,应该和 Apple 举报一波。
    mario85
        12
    mario85  
       2018-12-13 03:42:09 +08:00 via iPhone   ❤️ 4
    哪用那么麻烦。
    找人借一台 iPhone(至于哪里借比较好你懂的),准备好阿里小号之类的。
    手机洗干净,装上某数字或者企鹅家的通话管理 app,导入骚扰电话数据库。然后用准备好的小号注册脉脉。
    美滋滋。
    echo1937
        13
    echo1937  
       2018-12-13 08:11:16 +08:00
    @secondwtq #10 对啊,我也记得这种措施是违反苹果协议的,就像 @squid157 #11 说的那样。
    leobuf
        14
    leobuf  
       2018-12-13 08:17:02 +08:00 via Android
    垃圾脉脉
    putaozhenhaochi
        15
    putaozhenhaochi  
       2018-12-13 08:24:50 +08:00 via Android
    之前收到过好几次这样的脉脉短信。 妈的。打死也不敢用这样的软件
    trys1
        16
    trys1  
       2018-12-13 08:32:04 +08:00 via Android   ❤️ 1
    我强烈希望在网上可以看到联名抵制脉脉以及此类流氓的声音,并且越来越大

    @secondwtq #10 说的讽刺,我真的是切身深有体会
    LeungV2
        17
    LeungV2  
       2018-12-13 08:32:15 +08:00
    学到了
    trys1
        18
    trys1  
       2018-12-13 08:33:33 +08:00 via Android   ❤️ 1
    “然而最讽刺的是,我以不想卖朋友的信息为动机,折腾了半天,并没有办法避免通讯录里面有我的同事 /同学把我卖掉 ...”
    简直咬牙切齿!
    sharkrice
        19
    sharkrice  
       2018-12-13 08:33:41 +08:00
    看完我把脉脉删除了
    twitch
        20
    twitch  
       2018-12-13 08:46:40 +08:00 via Android
    何止 gv 收不到验证码,除了+86 的其他的号都无法接收,既然不能接受我好奇他出这个功能干嘛
    ericwyn
        21
    ericwyn  
    OP
       2018-12-13 08:50:02 +08:00 via Android
    @secondwtq 用自己的号码也应该还好,主要是通讯录的问题,只要想办法别上传自己正常的通讯录就可以了。另外阿里小号不是已经?没有了么?在号码实名制这么严格的今时今日???
    ericwyn
        22
    ericwyn  
    OP
       2018-12-13 08:51:50 +08:00 via Android
    @sharkrice 删除脉脉没有用,你的个人信息还是在这,在个人页面,选择帐号安全,选择注销账号,客服说这样会清空你的账号信息(应该包括联系人?对流氓公司的承诺存疑),不过此后就没法再用这个手机号注册了。
    ericwyn
        23
    ericwyn  
    OP
       2018-12-13 08:53:27 +08:00 via Android
    @trys1 另外更加讽刺的是,在尝试注销账号的时候,反馈页面的选项里面也有“不再给朋友发推送短信“这样的选项...他们自己也知道自己发那些垃圾短信有多让人讨厌
    ericwyn
        24
    ericwyn  
    OP
       2018-12-13 08:54:08 +08:00 via Android
    @twitch 我不太清楚是不是因为是 gv 的原因,或者其他地区正常的手机号可以收到?
    ShuoHui
        25
    ShuoHui  
       2018-12-13 08:57:39 +08:00 via iPhone
    有没有人一起举报一波 App Store 的脉脉
    twitch
        26
    twitch  
       2018-12-13 08:58:18 +08:00 via Android
    @ericwyn 美国实体号和香港的号注册依旧收不到,就算你用+86 的注册后换绑到其他国外号码,还是收不到验证码,根本没反应
    zn
        27
    zn  
       2018-12-13 09:00:43 +08:00
    用苹果,永无此类国产特色烦恼。

    伪果粉前来免费报道。
    hwding
        28
    hwding  
       2018-12-13 09:04:46 +08:00 via iPhone
    2333,刚注册的时候看到要完善一堆信息我直接就联系客服帮我删除账号了,这真的算好的,就没见几家践行这个操作的.....
    twitch
        29
    twitch  
       2018-12-13 09:10:59 +08:00 via Android
    @ericwyn 而且你用网页端注册,用非+86 注册时输入号码会提示“请输入正确号码”,让你输入 11 位的香港或美国号,这奇葩的判定
    MithrandirW
        30
    MithrandirW  
       2018-12-13 09:13:40 +08:00
    下了一次马上删了。现在还在推送短信。
    ericwyn
        31
    ericwyn  
    OP
       2018-12-13 09:32:23 +08:00 via Android
    @MithrandirW 重新登陆一下,注销账号试试~
    ericwyn
        32
    ericwyn  
    OP
       2018-12-13 09:33:35 +08:00 via Android
    @zn 按照 #10 的说法,ios 版本似乎也是不给权限不许用这样,心累
    ericwyn
        33
    ericwyn  
    OP
       2018-12-13 09:34:34 +08:00 via Android
    @hwding 确实,能够注销账号还行,但是也不知道这个注销账号到底有没有真的注销啊,另外的通讯录信息是否有清空啊
    hwding
        34
    hwding  
       2018-12-13 09:35:15 +08:00 via iPhone
    @ericwyn 没办法,没人监管。
    yongzhong
        35
    yongzhong  
       2018-12-13 09:36:28 +08:00
    辣鸡脉脉,卸载后没再用过
    bypain
        36
    bypain  
       2018-12-13 09:39:29 +08:00
    太 ji 儿恶心了,怎么还有那么多人在用
    dong3580
        37
    dong3580  
       2018-12-13 09:42:42 +08:00
    我以为你要告脉脉侵犯隐私,如果这里有人打算告的话我可以加入。
    国家部门不监管,个人信息泄露被这种软件恶意发垃圾短信。
    trys1
        38
    trys1  
       2018-12-13 09:46:29 +08:00 via Android
    希望可以让更多人看到这个帖子!

    我强烈希望在网上可以看到联名抵制脉脉以及此类流氓的声音,并且越来越大

    @secondwtq #10 说的讽刺,我真的是切身深有体会
    ericwyn
        39
    ericwyn  
    OP
       2018-12-13 09:47:18 +08:00 via Android
    @dong3580 因为自己并不会太多法学方面的知识啊(捂脸,其实如果真的要告的话,收集证据会不会比较麻烦呢话说
    lockiee
        40
    lockiee  
       2018-12-13 10:21:25 +08:00 via iPhone
    @ericwyn 对啊,拒绝通讯录权限就用不了,然后卸载了,天天在微博上看脉脉。。。
    hjq98765
        41
    hjq98765  
       2018-12-13 10:30:17 +08:00
    辣鸡脉脉
    dunn
        42
    dunn  
       2018-12-13 10:42:31 +08:00
    @zn IOS 环境下也是要强制开启通讯录权限
    ylsc633
        43
    ylsc633  
       2018-12-13 11:03:49 +08:00
    确实垃圾

    因为 今年我爸就收到了这样的短信! 说 xxx(我的名字),xxx 等点评了你 下载查看

    然后我爸截短信图问我..... 问题我爸只是个普通的农民啊.. 注册这个干啥


    后来,我好不容易找到了脉脉里 删除 通讯录的名单(注册时候被上传的)

    但是做咱们这行的都明白,这东西肯定不会硬删除的....

    问题是我是大学毕业后 注册的,可是很多手机号都是大学时候的同学的号码

    现在这些号码肯定被其他人买了(长期不用,被注销,然后过了半年重新卖)

    然后这些人很有可能会收到推送.. 然后我的名字和基础信息 直接显示在他们短信里了....


    现在我是注册了一个小号,通讯录里 我随便加了十几个随意写的号码,比如 13333333333 这种! 注册完就删通讯录!
    whosesmile
        44
    whosesmile  
       2018-12-13 11:11:39 +08:00
    被脉脉这个恶心操作挡住,一直没注册过...
    ericwyn
        45
    ericwyn  
    OP
       2018-12-13 11:21:24 +08:00
    @ylsc633 好恶心啊真的,就是这种胡乱发短信的行为....关键是我们老一辈家人亲戚朋友他们根本就不知道这东西,强行被骗,这感觉和诈骗短信没什么两样啊
    wohenyingyu03
        46
    wohenyingyu03  
       2018-12-13 11:25:20 +08:00
    @secondwtq iOS 审核都是关闭所有权限的,一旦发现无法进入软件直接下架。
    yebo777
        47
    yebo777  
       2018-12-13 11:35:21 +08:00
    脉脉这软件是真的恶心
    meisky6666
        48
    meisky6666  
       2018-12-13 11:36:11 +08:00
    所以咋举报 ios 版?
    qinxi
        49
    qinxi  
       2018-12-13 11:55:28 +08:00
    下载了.不给通讯录不让用.那我就卸载好了
    dezhou9
        50
    dezhou9  
       2018-12-13 12:08:58 +08:00 via Android
    确实垃圾天天发短信
    imn1
        51
    imn1  
       2018-12-13 12:10:16 +08:00
    建议大家不要像 LZ 那么懒,造一堆一看就是假的联系人,这样很不好

    pip install faker
    from faker import Faker
    fake = Faker("zh_CN")
    name = fake.name()
    phone = fake.phone_number() #如果不想商家发到一个真实的号码骚扰无辜的人,可以修改一下号段之类
    add = fake.address()
    email = fake.email()
    com = fake.company()
    ……
    ghiei9101
        52
    ghiei9101  
       2018-12-13 12:16:26 +08:00
    已注销账户
    ericwyn
        53
    ericwyn  
    OP
       2018-12-13 12:17:37 +08:00
    @imn1 有什么不好的么(哭笑(捂脸,因为没去找这种生成虚拟联系人的库所以就还是直接用循环了
    imn1
        54
    imn1  
       2018-12-13 12:26:59 +08:00
    @ericwyn
    幽默一下,别较真
    目的只是推一下不久前发现的好东西,一看就是假的数据很容易清洗,弄些不容易清洗的数据,让真实数据淹没其中,恶心他们更好
    aliao0019
        55
    aliao0019  
       2018-12-13 13:01:16 +08:00
    @ericwyn 说起来如果有足够多的人加入足够多的假联系人,就能玩一玩他们了吧
    tailf
        56
    tailf  
       2018-12-13 13:11:50 +08:00
    从未注册过这玩意儿,在电梯里看到了极其挫的广告(大专毕业两年,我现在在世界五百强工作,因为我用脉脉积累了人脉)就决定不体验了。
    cchange
        57
    cchange  
       2018-12-13 14:04:33 +08:00
    辣鸡脉脉
    幸好我们不用

    对付流氓还有办法:找更大的流氓,你宣称自己在欧盟,GDPR 来一波
    zhangneww
        58
    zhangneww  
       2018-12-13 14:19:07 +08:00
    对楼主遭遇深表同情,我也遇到过,恶心至极!!!
    ikaros
        59
    ikaros  
       2018-12-13 14:30:44 +08:00
    我想知道那个短信怎么去掉,按照提示的发了还是老给我发短信
    JCZ2MkKb5S8ZX9pq
        60
    JCZ2MkKb5S8ZX9pq  
       2018-12-13 14:32:29 +08:00
    开虚拟机灌过万把个假通讯录。刚好之前写过现成的人名和手机生成器。
    ericwyn
        61
    ericwyn  
    OP
       2018-12-13 14:40:10 +08:00   ❤️ 1
    @ikaros 没办法鸭~哪怕你没注册,可是如果你周围的哪个同事啊同学啊注册了,你还是有可能收到短信....
    Libby520
        62
    Libby520  
       2018-12-13 14:40:22 +08:00
    何必这么麻烦,下载一个骗子通讯录,然后同意权限
    我记得以前有个人做了个全是各类营销和骗子骚扰之类电话簿放在 github 上
    py2ex
        63
    py2ex  
       2018-12-13 14:49:41 +08:00
    曾经想过尝试脉脉,由于要求通讯录,没注册就卸载了
    imn1
        64
    imn1  
       2018-12-13 14:51:10 +08:00
    @Libby520 #62
    求,之前网上找了几小时没找到
    var
        65
    var  
       2018-12-13 15:09:13 +08:00
    @py2ex #63 一样一样
    fy
        66
    fy  
       2018-12-13 15:13:06 +08:00
    路过支持一下,头像好评
    zhouyg
        67
    zhouyg  
       2018-12-13 15:19:50 +08:00
    可以 ios 举报一波,让这个 app 下架整改
    yzkcy
        68
    yzkcy  
       2018-12-13 16:34:22 +08:00
    注册要通讯录就直接卸载了。

    有个疑问,如果伪造通讯录注册成功,登陆之后,再关闭脉脉的读取通讯录权限,脉脉还能正常使用吗?
    Level5
        69
    Level5  
       2018-12-13 18:10:35 +08:00
    最喜欢看类帖子了,点赞
    trys1
        70
    trys1  
       2018-12-13 18:36:38 +08:00 via Android
    为了可以让更多人看到这个帖子!抱歉重复发言了

    我强烈希望在网上可以看到联名抵制脉脉以及此类流氓的声音,并且越来越大

    @secondwtq #10 说的讽刺,我真的是切身深有体会
    cdjV2
        71
    cdjV2  
       2018-12-13 19:19:18 +08:00 via Android
    這類噁心 app 我是拒絕使用的。有過一次下載註冊。彈出對話框要授權讀取通訊錄,點擊拒絕。直接退出。下一秒果斷卸載。我自己手機上安裝的各類 app,對權限管理是嚴格的。能打❌的,一律❌。必要權限通過。比如地圖,gps 定位權限是必要的,其他短信、通訊錄、、❌❌
    ericwyn
        72
    ericwyn  
    OP
       2018-12-14 00:03:04 +08:00 via Android
    @yzkcy 可以的~
    ericwyn
        73
    ericwyn  
    OP
       2018-12-14 00:03:52 +08:00 via Android
    @fy 是我自己用 sketchbook 画的 hhhh
    ljmsun
        74
    ljmsun  
       2018-12-14 09:33:06 +08:00
    先把通讯录备份,再把通讯录里的删光,我编了 5 个联系人,用阿里小号注册个脉脉小号,可以用了。然后禁止脉脉的通讯录权限。把之前的通讯录还原,可以正常使用脉脉,平时潜水看职言吹逼
    meiyoumingzi6
        75
    meiyoumingzi6  
       2018-12-14 13:27:21 +08:00 via Android
    手持渣米 6,开启分身,安装脉脉,然后伪造一些手机号。。。。。



    讲真,能制作出这种垃圾软件的公司,公司文化绝逼有问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   926 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 22:18 · PVG 06:18 · LAX 14:18 · JFK 17:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.