剛剛在對其他的apk做FC的除錯
所以用了adb logcat指令
意外發現一個漏洞，可以直接用adb logcat指令取得台版FGO的登入帳密
大概就是你把偵錯模式打開並且插著電腦
利用adb logcat > D:/1.txt
把偵錯信息寫進D槽根目錄下的1.txt
原本我是要對其他專案除錯的
意外發現竟然可以直接從txt取得台版的帳密
https://i.imgur.com/FZqVZrA.jpg
如圖片
隨便測試了一下幾個銀行的APP倒是沒問題
所以說
偵錯模式別隨便開
如果用其他的電腦或是公用充電器
你開著偵錯模式玩FGO
可能這一頁資訊就跟著你的帳密洩漏出去了

推

推

感謝提醒

感謝提醒 這篇感覺可以置底啊

這程式這樣寫的? 這工程師...

推

不是吧，這算程式漏洞吧

老實講這有點誇張

難怪日版開著USB偵錯會不給玩fgo可是仔細想想這根本就本末倒置啊

沒 日版鎖USB偵錯是跟鎖root和JB一起的台版是拿B服的程式碼 B服據稱是有被中國工程師大改過的嚴格說起來台服也只是B服擴展來台灣的手段而已實際上背後金主就是B服 所以才會拿B服的程式

呃.... 其他資訊，像是抽卡之類的東西會寫到log裡面嗎？

推

大大要好心回報下台版官方嗎?這很嚴重耶= =

寫給台灣官方可能也沒用，遊戲裡一堆簡體字跟對岸用語都懶得修了台服就是只想翻譯而已

推個

推

這樣我同學忘記密碼有救了

好奇綁臉書的狀況下會怎麼顯示

聯署修改資安？如果是中國程式搞不好還內建92共識....可以幫看使用通訊會產出封包嗎？

推

笑死 這真的是中國改過的版本嗎 LUL 這年頭還有人用明碼這很明顯是要紀錄密碼回傳的 只是他還下log 太智障了lol

別說了，推特帳密之前還真的在用明碼

之前第七章敲柱子就是因為明碼通信惹

給樓上綁臉書的不會有你臉書帳密的放心吧

niconico都還在用flash

早期多的是只有使用者看密碼是****結果傳輸時是明碼

臉書的API接入登入的方式算是相對十分安全的

重點是FGO居然用明碼傳值不然銀行APP怎麼就沒事

推一下 覺得有點嚴重

推

這超嚴重吧，哪有人release apk還放debug log

這不是明碼傳值 很明顯是Debug log沒關吧

log裡有明碼跟通訊沒關係，通訊transport層有加密的話application層傳明碼又沒有關係

另外這種資訊並不是偵錯模式沒開就沒事如果有其它程式可以讀手機log就可能會洩出去

4.1之後要有root權限的APP才能讀log不過如果想在android系統動手腳的話很簡單

沒用build去濾掉debug log就很大條了....更何況帳密這種東西根本不需要下log ==

想說日版不是有鎖嗎 原來是台版www

推

感謝提醒 推

你要回報給智冠嗎？還是回報到ZeroDay(漏洞回報平台)?看了不一定會處理啊

推

謝謝你 我找回自己的密碼了

zeroday不錯，感覺直接告訴智冠他們不會動

推

有帳號遺失的趕快用漏洞喔

這也太誇張

推

推

推

推

無聊看了一下iOS的Device log 沒有發現密碼Xcode編譯環境好像debug log只有開發者能看的樣子然後登入當下的request sever_name寫的是"bili区"蠻有趣的XD

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推

推