アプリ自体はインストールしてないので、中のファイルから動作を類推してみた。
こんな動作をするアプリの導入を推奨する
x.com/whyyoutouzhele
結論から先に言うと私なら導入しないね。
//--------------------
中国领事_2.4.7_APKPure.apk
name=HMSCore-availableupdate
version=5.0.4.301
developer.huawei.com/consumer/en/do
huawei の フレームワーク使ってるのね
(HUAWEI ID・決済・通知などの基本サービスを提供するサーOkHttpビスフレームワーク)
OkHttp3 でWebAPI実装してて、publicsuffixes リストには色々なサイトのドメインが記載。
xgf.nu/kLKhX
face-alignment とかのconfに eye.opt_bin.tnnproto がある
>TNN と呼ばれるモバイル端末向け高性能ディープラーニング推論フレームワークに関連するファイル
>テンセント(Tencent)が開発した、クロスプラットフォームで軽量なディープラーニング推論エンジン
なんで、目の検出や追跡に関連する特定のモデルの一部のディープラーニング系AIが組み込まれてる。(領事館アプリに?)
FaceIDみたいな認証に使ってる?
アプリの中のmapアイコンにPizzaHatがあってわらた
>mapcfg_pizzahut@2x.png
err_message.txt
xgf.nu/Sz9M3
エラー内容からSMS認証・身分証明書番号・顔認証登録必須、WeChat or QQとの連携可能、(ユーザーは本人確認が必要) とAndroidの野良アプリにしては濃いね
SenseID_Liveness_Silent
があるから、顔認証系は確実にやっていて、そのデータが送信されているかは不明。内部にディープラーニング系AIが組み込まれてるからそこだけで判定している可能性もあり
qapm-monitor.js
>特定のコンテキストでのファイルの振る舞いを示すファイル名であり、マルウェア解析レポートなどの技術的な分析結果に登場することがあります
で、このファイル解析してみたんだけれど、
パフォーマンス・安定性(エラーコード)・ユーザーの行動を計測し、開発者が品質を把握・改善するためのデータを収集してサーバー(主に *.qq.com ドメイン)へ送信してる。Tencent(QQ)関連のサービスで使用される社内ツールまたはSDKである可能性が高い。
A. パフォーマンス監視 (Performance Monitoring)
B. エラー追跡 (Error Tracking)
C. ユーザー行動追跡 (User Action Tracking)
D. ネットワーク監視 (Network Monitoring)
で、これらデータを
データ送信: 収集したデータはバッファリングされ、定期的にあるいは特定のタイミングで athena.qq.com や sngapm.qq.com などのエンドポイントへ送信されます。
qq.com は中国のTencent(テンセント/騰訊)が運営するサービスのドメインなんで、中華サーバへ情報を送って居る可能性大
YTFaceSDK.license もあるから、Tencent Cloud(騰訊雲)が提供する顔認証(人脸核身)または顔認識技術を利用するためのライセンスファイルって事で、顔の情報を qq.com へ送信してるんじゃないかな?
>このSDKを実際に利用するには、事前にテンセントクラウドに対して利用申請を行い、YTFaceSDK.license というライセンスファイルを取得する必要がある
>テンセントの高度な顔認証技術を商用利用するために不可欠な認証情報ファイル
ので、テンセントはこのアプリを認証しているね
AndroidManifest.xml
で、権限が確認できたから見てみると以下の権限を要求してる
・インターネットへのアクセスを許可
・ネットワーク接続の状態を確認
・ネットワーク接続の状態を変更
・Wi-Fi 接続の状態を確認
・Wi-Fi 接続の状態を変更
・外部ストレージからの読み取りを許可
・外部ストレージへの書き込みを許可
・すべての外部ストレージへの広範なアクセスを許可
・ファイルシステムのマウント・アンマウント操作を許可
・カメラへのアクセスを許可
・マイクを使った音声録音を許可
・フラッシュライト(トーチ)の使用を許可
・バイブレーション機能の使用を許可
・おおよその位置情報(Wi-Fi、モバイルネットワークなど)へのアクセスを許可
・正確な位置情報(GPSなど)へのアクセスを許可
・位置情報プロバイダーへの追加コマンドの実行を許可
・機密性の高い電話の状態情報へのアクセスを許可(特権権限)
・電話をかけることを許可
・発信中の通話を監視、変更、中止することを許可
・プロセッサーをスリープ状態にしないことを許可
・フォアグラウンドサービスを実行することを許可
・メディアプロジェクションを使用するフォアグラウンドサービスの実行を許可
・実行中のタスク(アクティビティ)の情報を取得
・タスクの順序を変更
・デバイス起動完了のブロードキャストを受信
・他のアプリの上にウィンドウを描画
・グローバルオーディオ設定を変更
・システム設定を読み書き
・デバイスにインストールされているすべてのパッケージに関する情報を問い合わせます
・パッケージのインストールをリクエスト
・Bluetoothデバイスへの接続、ペアリングを許可
・Bluetooth設定の管理を許可
・ユーザーがデバイスを操作していることを示すブロードキャストを受信
・固定されたブロードキャストを送信
・通知なしでダウンロードを許可
・ダウンロードマネージャーにアクセス
・APN設定の読み取りを許可
・ローカルのMACアドレスにアクセス
・フルスクリーンインテントの使用を許可
・ジョブスケジューラサービスをバインドするために使用されます
まあ不要な部分もあるだろうけれど、
・すべての外部ストレージへの広範なアクセスを許可
・カメラへのアクセスを許可
・マイクを使った音声録音を許可
・固定されたブロードキャストを送信
・正確な位置情報(GPSなど)へのアクセスを許可
・APN設定の読み取りを許可
・ローカルのMACアドレスにアクセス
ネットへの接続に顔認証、そしてAPN設定の読み取り許可にテンセントへのデータ送信ねぇ...
Quote
藤原@かみら(アルパカ社長)@Racer_Kamira
中国领事 APK
apkpure.com/zhong-guo-ling
ぱっと探した感じ、Android版はPlayストアじゃなくて野良アプリ(apkpure)扱いって事は、Googleの審査受けてないのかな
shenzhen-fan.com/news-2021-08-2
アプリ自体は昔からあるけれど、
iPhone版の異常な低評価(2021 ★2.8 -> 2025 ★1.6)
apps.apple.com/jp/app/%E4%B8%