分析聚合数据的SDK

Aveline Swan上周发现聚合数据（juhe.cn）的 SDK会偷偷上传用户通讯录至服务器，虽然聚合数据随后更新了SDK关闭了上传用户通讯录，但Swan指出在产品端更新SDK是个漫长的过程，旧版的SDK仍然在收集用户通讯录，而且合数据服务器上用于接收上传的通讯录的接口并没有被删掉，仍然能正常处理数据。他对旧版本SDK进行了完整汇编分析，发现加密密钥很容易获取，密文很容易解密，他还发现聚合数据的开发者直接用了uploadSMSAddressBook作为上传通讯录的函数名。