[閒聊] 別在手機插電腦開偵錯模式下玩FGO

作者qxxrbull (qxxrbull)

看板FATE_GO

標題[閒聊] 別在手機插電腦開偵錯模式下玩FGO

時間Mon May 7 01:25:15 2018

剛剛在對其他的apk做FC的除錯所以用了adb logcat指令意外發現一個漏洞，可以直接用adb logcat指令取得台版FGO的登入帳密大概就是你把偵錯模式打開並且插著電腦利用adb logcat > D:/1.txt 把偵錯信息寫進D槽根目錄下的1.txt 原本我是要對其他專案除錯的意外發現竟然可以直接從txt取得台版的帳密 https://i.imgur.com/FZqVZrA.jpg 如圖片隨便測試了一下幾個銀行的APP倒是沒問題所以說偵錯模式別隨便開如果用其他的電腦或是公用充電器你開著偵錯模式玩FGO 可能這一頁資訊就跟著你的帳密洩漏出去了 -- 1.你不管後半輩子再怎麼努力，都比不上你投胎那一次的努力 @qxxrbull 2.努力用功一輩子，不如你爸媽給你一棟北市精華區的房子 3.你工作一年連100萬都賺不到，人家買個1200張中華票券擺一年就有100萬 4.要從沒錢變有錢很困難，要從有錢變更有錢很簡單 5.法律規定不能教唆他人自殺，因為當所有窮人都自殺了，有錢人也沒辦法一直有錢了 6.自殺前記得用盡你的能力貸款，在選擇權結算日前全梭一邊，這是你死前翻身的機會 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.45.124.57 ※ 文章網址: https://www.ptt.cc/bbs/FATE_GO/M.1525627518.A.3FE.html

推 Sasamumu: 感謝提醒 05/07 01:31

推 e2167471: 推 05/07 0132

是說我還把他傳上github某個公開專案了趕快刪掉w ※ 編輯: qxxrbull (114.45.124.57), 05/07/2018 01:34:50

推 BlackTea1023: 感謝提醒這篇感覺可以置底啊 05/07 01:34

也沒這麼危險，前提是偵錯模式得開一般人可能不會去開他(得先點版本號幾次開起開發者選項才能開到這個) 但有些刷過的ROM可能這個預設是開啟的，大部分原廠的ROM應該不會預設去開 ※ 編輯: qxxrbull (114.45.124.57), 05/07/2018 01:36:30

推 sdw800928: 這程式這樣寫的? 這工程師... 05/07 01:36

推 chses910372: 不是吧，這算程式漏洞吧 05/07 02:26

推 aaaawang: 老實講這有點誇張 05/07 02:28

推 twosheep0603: 難怪日版開著USB偵錯會不給玩fgo 05/07 03:05

→ twosheep0603: 可是仔細想想這根本就本末倒置啊 05/07 03:05

→ dklash: 沒日版鎖USB偵錯是跟鎖root和JB一起的 05/07 03:31

→ dklash: 台版是拿B服的程式碼 B服據稱是有被中國工程師大改過的 05/07 03:32

→ dklash: 嚴格說起來台服也只是B服擴展來台灣的手段而已 05/07 03:32

→ dklash: 實際上背後金主就是B服所以才會拿B服的程式 05/07 03:33

推 FF16: 呃.... 其他資訊，像是抽卡之類的東西會寫到log裡面嗎？ 05/07 03:43

推 morton7932: 大大要好心回報下台版官方嗎?這很嚴重耶= = 05/07 04:22

推 jk952840: 寫給台灣官方可能也沒用，遊戲裡一堆簡體字跟對岸用語都 05/07 04:28

→ jk952840: 懶得修了 05/07 04:28

→ jk952840: 台服就是只想翻譯而已 05/07 04:28

推 william85: 推個 05/07 06:06

推 SOSxSSS: 這樣我同學忘記密碼有救了 05/07 06:54

推 hoyunxian: 好奇綁臉書的狀況下會怎麼顯示 05/07 07:20

推 butten986: 聯署修改資安？ 05/07 07:30

→ butten986: 如果是中國程式搞不好還內建92共識.... 05/07 07:31

→ butten986: 可以幫看使用通訊會產出封包嗎？ 05/07 07:32

推 usoko: 笑死這真的是中國改過的版本嗎 LUL 這年頭還有人用明碼 05/07 08:26

→ usoko: 這很明顯是要紀錄密碼回傳的只是他還下log 太智障了lol 05/07 08:26

推 chses910372: 別說了，推特帳密之前還真的在用明碼05/07 08:27

推 a1234567289: 之前第七章敲柱子就是因為明碼通信惹05/07 08:57

推 methodho: 給樓上綁臉書的不會有你臉書帳密的放心吧05/07 09:12

推 orze04: niconico都還在用flash05/07 09:12

推 holysea: 早期多的是只有使用者看密碼是****結果傳輸時是明碼05/07 09:39

推 Sinreigensou: 重點是FGO居然用明碼傳值05/07 10:05

→ Sinreigensou: 不然銀行APP怎麼就沒事05/07 10:05

推 ie12345: 推一下覺得有點嚴重05/07 10:15

→ ssccg: 這超嚴重吧，哪有人release apk還放debug log05/07 10:24

→ ckm0089: 這不是明碼傳值很明顯是Debug log沒關吧05/07 10:25

→ ssccg: log裡有明碼跟通訊沒關係，通訊transport層有加密的話05/07 10:26

→ ssccg: application層傳明碼又沒有關係05/07 10:26

→ ckm0089: 另外這種資訊並不是偵錯模式沒開就沒事05/07 10:26

→ ckm0089: 如果有其它程式可以讀手機log就可能會洩出去05/07 10:27

我沒記錯了話，android 4.1以後，調用READ_LOGS權限似乎無法讀取其他應用的？這點我不確定，可能要看看有沒有比我更懂的 ※ 編輯: qxxrbull (118.167.172.114), 05/07/2018 10:38:36

推 colin8930: 4.1之後要有root權限的APP才能讀log 05/07 11:21

推 colin8930: 不過如果想在android系統動手腳的話很簡單 05/07 11:32

推 usoko: 沒用build去濾掉debug log就很大條了.... 05/07 11:50

→ usoko: 更何況帳密這種東西根本不需要下log == 05/07 11:50

推 kazumi66: 想說日版不是有鎖嗎原來是台版www 05/07 12:26

推 tomji3g4go6: 感謝提醒推 05/07 13:31

推 illya65536: 你要回報給智冠嗎？ 05/07 14:11

智冠應該有人會來看這裡吧w 是說回報惹能參加那個活動嗎 ※ 編輯: qxxrbull (140.137.9.165), 05/07/2018 14:12:07

→ illya65536: 還是回報到ZeroDay(漏洞回報平台)? 05/07 14:11

→ illya65536: 看了不一定會處理啊 05/07 14:16

摁，先回報給Hitcon的Zero-Day好了 4說Hitcon我也有參加過好幾次 ※ 編輯: qxxrbull (140.137.9.165), 05/07/2018 14:35:12 ※ qxxrbull:轉錄至看板 TypeMoon 05/07 14:36

推 sffstpl: 謝謝你我找回自己的密碼了 05/07 16:24

推 morton7932: zeroday不錯，感覺直接告訴智冠他們不會動 05/07 16:27

推 butten986: 有帳號遺失的趕快用漏洞喔 05/07 17:40

→ cloudin: 這也太誇張 05/07 17:45

→ k03004748549: 無聊看了一下iOS的Device log 沒有發現密碼 05/07 22:31

→ k03004748549: Xcode編譯環境好像debug log只有開發者能看的樣子 05/07 22:33

→ k03004748549: 然後登入當下的request sever_name寫的是"bili区" 05/07 22:45

→ k03004748549: 蠻有趣的XD 05/07 22:45