作者因子女参加迪士尼演出被迫安装名为“Travelbound”的安卓应用。该应用体积高达43MB,包含追踪代码和广告,且功能仅限于展示行程图文和PDF链接。作者认为这完全可以通过网页实现,因此利用技术手段对其进行“修复”。技术过程包括:使用Android Studio创建虚拟设备,通过rootAVD获取Root权限并配置Magisk,利用HTTP Toolkit进行流量抓包,成功绕过应用的证书固定机制。逆向发现,该应用后端仅是一个JSON API,且存在严重安全隐患——将用户名和密码直接拼接在URL中进行请求。作者编写Ruby脚本定期抓取JSON数据,生成一个仅有0.05MB的纯静态HTML页面,去除了广告和追踪功能。作者通过对比指出,网页版在体积、跨平台兼容性、无障碍访问及用户体验上均优于原生应用,批评了为了数据监控而强行开发APP的行业陋习。
事件分析
💡 核心观点:破除“应用迷信”:Web标准的通用性与开放性,在效率与体验上远胜于臃肿封闭的伪原生APP。
原文链接:Hacker News





