小爱同学触屏音响Security Breach,成功越狱安装第三方App——8

此系列文章为本人原创,首发于本人博客,本身并不是一篇教程文章,主要是对破解过程的一些分享,希望能给各位读者一些启发。找漏洞不易,了解方法后自己偷偷玩就行,谢绝转载,且行且珍惜!

免责声明:破解具有一定风险,文章谈到的所有方法仅供学习交流之用,由于破解导致的问题与本人无关,请知晓风险后再进行操作。

八、乘胜追击

首先,hap的deeplink已经在上一篇分享中是确定有效的了,我们也成功跳转到了对应的快应用,依照我们的之前的猜想,手机端和音响端App应该是通用的了,毕竟就必胜客这一个程序来说,看起来在手机端运行得也是非常好的,并且我们可以看到弹出的错误提示,表明快应用应该在小爱音响上成功地跑起来了,但是为什么会白屏,我这里做出了自己的猜想——大概率是因为屏幕大小没有适配吧,为了验证这一猜想,我们必须找到更多的快应用进行验证。但是怎么找跳转链接,却让我犯了难,这些快应用的入口都不是主动提供的,大部分入口要么是隐藏在平台网页中,要么隐藏在应用商店里,要么隐藏在各种广告中,很难找到直接进行跳转的链接,而我们能进行跳转的途径,目前也只限于hap的deeplink这一种方式。

1、 全局搜索
· 精准搜索:打开全局搜索-搜索对应的快应用名称-秒开,例如京东
· 内容搜索、泛搜索:打开全局搜索-搜索内容-秒开,例如小说
· 关键词搜索:搜索唯品会、淘票票

2、应用商店
· 应用商店-分类-快应用-秒开
· 应用商店-搜索对应的快应用名称-秒开
· 应用商店-游戏-快游戏-秒开

3、 语音-小爱同学
· 长按Home键唤起小爱同学-发出指令-秒开

4、 负一屏
· 桌面滑动到最左一屏—点击快应用卡片—例如菜鸟裹裹

5、浏览器搜索
· 在浏览器中关键词搜索-秒开,例如京东
· 模糊搜索:例如输入“打车”、“买药”、“二手车”等,出现相应的快应用-秒开

6、url跳转
· 浏览器搜索应用后页面跳转,例如搜索唯品会,点击唯品会官网后跳转唯品会快应用

7、url微信
· 分享链接,跳转快应用,例如:汽车之家;
· 朋友圈或公众号内url跳转

8、小爱同学
· 语音:例如“打开唯品会快应用”-秒开
· AI键:快捷中心-秒开

9、桌面图标
· 快应用back返回,可通过提示桌面留下图标,点击桌面图标-秒开

10、负一屏
· 下拉二楼,历史记录-秒开;
· 下拉二楼,最近使用的快应用-更多-快应用中心-秒开;
· 出行卡片:秒开航班管家;
· 快递卡片:寄快递,秒开菜鸟裹裹;

11、广告
· 效果类广告,浏览器信息流广告投放,如连尚免费读书;
· 品牌类广告,例如一汽奔腾在开屏、热词、输入法、小米vip等,点击即可打开;
· 广告主投放到第三方平台

12、二维码扫码跳转
· 手机扫一扫二维码,跳转快应用;

13、卸载
· 垃圾清理结果页-应用卸载页,应用卸载完成弹窗提示是否创建快应用,如滴滴出行;

14、主题+锁屏
· 安装”智能服务“主题,时间点推荐相关的快应用,例如放点的时候点击“定外卖”,跳转饿了么快应用

15、快应用之间的跳转
· 我的小米、短信、推送、传送门、快应用中心等

在官方提供的这15种跳转方式中,仅仅有两条是能给我们利用的,也就是说想要找到直接的跳转链接,不是那么容易的。之前的搜索也证实了,想短时间找到大量的快应用入口链接,通过搜索引擎去找是不可行的。

既然直链不好找,那我们就只能从其他地方想办法了。之前我们进行了一次有意义的尝试,即构造deeplink,构造的链接也取得了满意的效果。要构造一条hap链接,其中最重要的,是找到应用的包名。但是想找到对应的包名,也不是一件容易的事情。

首先,快应用不是安装在系统中的原生应用,所以从设置-应用管理中去看包名肯定是行不通了;其次,快应用这东西就像是网页一样,用完就扔,不留下一点痕迹,除非你手动的把它添加到桌面,但即使是添加到桌面,桌面上的也是一个快捷方式而已,跟把网页收藏到书签没有什么差别;

但是,快应用总有一个集中进行管理的界面吧,先前我不知道,后面才发现,快应用是通过快应用来集中管理的,在系统的搜索功能中,我们搜索快应用(因为隐藏地特别深,没有任何图标入口),排在第一的则是快应用中心,在这里我们可以看到这是一个类似应用商店的应用,同时也有我们最近使用的所有快应用,可以在这里进行“安装”、“卸载”和”发现“,进去逛了一圈,好像该有的都不缺,作为普通用户的使用是完全没有问题的。但是对于开发者来说还是少了很多东西,同时也没有包名的选项。

不要急,手机这边还为我们提供了另外一套管理界面,也就是刚才搜索快应用中心一起出来的快应用服务框架,点进去就是快应用服务框架的设置界面,这个界面同样是在桌面上找不到入口的,必须通过搜索才能搜出来,这个设置界面在小爱触屏音响上是被精简了的(所以一开始我忽略掉了这个选项)。

简直是精简到连它妈都不认识了。这个完事之后,然后就是拿包名了,随便选一个应用,点击右上角的ⓘ,就能看到包名,这里先下来备用。

好了,既然能拿到包名,那我们首先来运行个什么来测试呢?我首先想到的就是浏览器了,完整版的浏览器,有了浏览器,其他一切都好说,我这里试验了好多个浏览器,测试了几个要么是加载不成功,要么是白屏的,想着这么一个个来太麻烦了,直接把快应用中心给干上去吧。于是我马上构造了快应用中心的链接:

hap://app/com.miui.quickappCenter

发现快应用中心竟然能在小爱触屏音响上完美运行。

这下能不能安装第三方App好像都不太重要了,快应用这边有大量的应用可以直接用,基本的需求都应该可以满足了吧,然而我并没有止步于此,在找到了一个可用的浏览器之后,毫不犹豫地用它下载了第三方App,然而事情还是一如既往的不顺利,点击下载之后,能弹出确认下载对话框,但是下载管理中却看不到有东西?我首先怀疑是浏览器本身有问题,为了排除浏览器,我又换了几个浏览器测试,结果均为相同,接着我又怀疑是不是权限的问题,又走了一遍之前的流程,去到了快应用服务框架的权限界面,这里默认是不开放读写权限的,但在第一次进到这个界面的时候,我已经把它给打开了,这次切回来也只是为了确认一下这个开关是不是又被自动关上了。发现没问题,这又是什么原因呢,我百思不得其解。

拓展阅读:为什么之前爱奇艺那一步不能省,既然我都知道后续了,通过hap链接就能调出快应用,我为什么还要折腾之前的东西呢?

原因就在于,如果不在设置信息中把快应用的各种权限给打开,这边你就算是通过hap链接调出了应用,也会因为各种权限问题而无法继续的,况且破解最忌讳的就是由果索因了,你不去尝试怎么能知道这里还有个快应用服务框架,并且能通过hap的deeplink来拉起App呢?

很多的科学成就都是通过意外才发现的,并且探索这种事情不像是做题,你知道结果是怎样了,然后去推证明,或者是知道这个题目肯定是有解的,可以大胆的去尝试,做起来信心满满。科学上大部分事情都是没有解的,很多探索可能到最后都是无底洞,你不知道会不会成功,问题最终到底有没有解,但是资金却是要一分不少地投进去的。要想获得成功还是缺少不了不断地探索。

未完待续

《小爱同学触屏音响Security Breach,成功越狱安装第三方App——8》有4条留言

留下评论