阿里云的扣费属实不懂，开通某个业务的时候级联开通了一系列的业务，关闭正在使用的业务删除实例后，和这个相关的其他业务（比如日志）其实还一直在运行的。发短信提醒我余额不足了我才发现我还有个从没用过的业务在一直扣钱。我看了账单之后甚至都花了半个小时才找到业务的入口在哪里，实际体验上来说，确实很糟糕。作为对比，腾讯云目前目前没遇到这类问题。

160 RMB 买个电磁炉，赠送一个汤锅一个炒锅那种。常规的做饭的方法都可以了
煮饭可以淘宝买个 30 块一个的两人份的电饭锅。
剩下的 10 块预算买个锅铲汤勺

话费余额 80 多万把我震惊了... 果然还是贫穷限制了我的想象力，我连开 10 块钱的流量包都要纠结好久 :(

试了下，确实可以直接查到准确的话费余额。
话费余额没有过于敏感的信息，在已知有查话费的 API 的前提下，我更担心有没有类似的可以查身份、姓名、地址等敏感信息的 API，这个 api 不大可能只有这一个业务。

可用的安装 play 商店方法：
1. 使用电脑去 apkmirror 下载 play，地址 https://www.apkmirror.com/apk/google-inc/google-play-store/，下载之后传到手机上
2. 使用某种方法，使得手机能访问 google，然后安装上一步下载的 apk

1. 不知道
2. play 商店和 play 游戏正常使用没有问题
3. 不知道

@vast0906 #1 FreshRSS 订阅了 RSS 源之后，FressRSS 本身也是个 RSS 源

ubuntu 18.04 + i3wm （看起来我是异端了

@cwyalpha #300 快应用是手机系统内预置的，支持浏览器里面发送 http 请求唤醒应用 不只是 vivo，其他很多国产手机也有这个，比如 coloros, miui, flyme, emui

根据 @cwyalpha 的回复，现在能构造出控制内网 /公网机器跳转到指定快应用的链接了
可以设置 __PROMPT__的值决定是直接跳转还是弹窗确认是否跳转，如果 __PROMPT__=0，那么无需用户确认，自动跳转到指定的快应用。
此外该链接可以通过本机访问目标网站触发或者攻击者远程触发。

攻击者远程触发：
http://ip:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=1&__NAME__=ttteeesssttt # 有弹窗，启动美团外卖

http://ip:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=0&__NAME__=ttteeesssttt # 无弹窗，直接启动美团外卖


水坑攻击：在某个网页添加能发起请求的代码，如添加 <img>，
<img src="http://127.0.0.1:55555/?i=com.meituan.waimai.quickapp&__PROMPT__=0&__NAME__=tttesttt">

受害者访问此页面后可以直接跳转到美团外卖（此请求其实是设计者预设的合法请求，但是可能被水坑攻击利用）

说到底，其实这是 quickapp 的 feature，通过 http 请求唤醒应用，这里监听了所有端口导致了问题的严重放大，被映射到公网，导致了问题的更严重的放大，致使了这个 feature 可能被攻击者远程利用，通过内网 /公网的一次 GET 请求启动目标手机的应用。

暂未确认是 UPNP 导致的端口被映射到公网，还是其他途径映射到公网的，fofa 搜索指纹能找到 7 万台设备，zoomeye 搜索指纹能找到 20 万台设备。两个厂商扫描的周期不同以及可能存在历史数据，个人推测公网受害者大约在 10 万台这一量级。
对于没有映射到公网的设备，数量可能是映射到了公网的设备的千倍。根据 https://finance.sina.com.cn/tech/2021-05-01/doc-ikmxzfmk9958014.shtml 的内容，在大内网的地方，比如企业内网、校园网，漏洞触发可能更容易。


根据楼上各位大佬分析到的结果，这应该已经能算是一个有一定危险性的漏洞了，推测 CVSS 评分 5-6，可能的攻击场景是远程启动受害者应用或者反复请求恶意 URL 导致拒绝服务攻击。但是更严重的利用，比如注册一个恶意的快应用，然后通过此触发方式在受害者手机上启动该快应用，进一步实现权限提升，可能是可以实现的，但存在一定难度。

锅不能全扔给 vivo，快应用也得背一点，可能不只是 vivo 存在这个问题，其他品牌支持快应用的手机可能也有类似的问题 :)

至于如何解决 55555 仍在开放，目前为止该漏洞仍然可以被恶意利用这个问题，暂时只能在路由器里面关 upnp，adb 卸载某些包（哪些我也不知道）。关 UPNP 只能防御来自 NAT 之外的攻击，不能抵御内网里的攻击，所以，等 vivo 的 OTA 更新吧 （推测他们会处理这个问题叭）

至于楼主的存在较大的带宽占用这个问题，目前似乎没有更多的信息了，个人推测快应用可能和 HCDN 没有关系。

另：
蹲一蹲楼上各位大佬写的分析过程 :)

https://i.loli.net/2021/05/25/XqRKVAo3u65SaEN.png

可以添加 __NAME__参数，控制弹窗提示的名字

http://192.168.123.81:55555/?i=1&__PROMPT__=1&__NAME__=hacked_by_somebody&__SRC__=hack

__SRC__参数的作用暂不明确

@droidmax61 #188 不清楚，可以问问 @essicaj 是怎么得到这个参数的 我猜测是快应用的 id 😕😕

http://127.0.0.1:55555/?i=1&__PROMPT__=0 设置参数为 0，不需要弹窗确认就可以进入到快应用里面了

http://ip:55555/?i=1&__PROMPT__=1 复现成功

路由器下有 iqoo neo, iqoo neo3 两台 vivo 系的手机，但是在我路由器的 upnp 列表里面没有看到这两个手机的任何端口的记录。

https://i.loli.net/2021/05/24/SKpjU8tiH7WBzd5.png

看了手边的一台 iqoo neo，发现不止监听了 55555 端口，还监听了 0.0.0.0:16080, 所有接口的 41741 端口，不过看起来另外两个端口似乎并不是 http 协议，我用 nc 和他交互可以成功建立 tcp，但是没有响应，推测是我发送的消息不符合他的格式。
```
PD1936:/ $ ss -tlpn
State Recv-Q Send-Q Local Address:Port Peer Address:Port
Cannot open netlink socket: Permission denied
LISTEN 2 0 0.0.0.0:16080 0.0.0.0:*
LISTEN 0 0 *:55555 *:*
LISTEN 0 0 *:41741 *:*
LISTEN 0 0 [::ffff:127.0.0.1]:41525 *:*
PD1936:/ $
```