虾米音乐pc端数据库直接可以查看大量账户信息

Posted 2020-12-28 algori

在虾米音乐pc端有一个问题，就是数据库采用的sqlite，并未进行加密

它将很多账户信息暴露在外，虽然不知道这些信息暴露出来会发生什么，也许什么也不会发生，但是，基本的加密我觉得是必要的。

数据库位置 X:音乐虾米音乐systemxm_data.db

通过管理工具链接，我们将得到5个表 api_cache，global_config，local_music，play_history，xm_user。

1. api_cache 拥有 三个字段 id，apiName，apiData

apiName 里面列出的是虾米所用的api

apiData 里是获取到的json格式的字符串

实例：

2. global_config 全局配置 拥有4个字段 id,key,value,expireTimestamp

key下列的值包含了大量个人信息 LOGININFO(包含敏感信息),PLAY_QUEUE_SNAPSHOT,PLAY_QUEUE_SNAPSHOT_INDEX,settingConfigShortcut(快捷键设置),downloadConfig(下载设置)

LOGININFO里包含了这些东西

{"accessToken":"","avatar":"","downCountLeft":,"isDemoVip":,"isVip":,"nickName":"","type":"succLogin","userId":,"userVerify":,"verifyIsOpen":,"version":"","vipExpire":,"visits":}

看到这里，就应该知道了登陆token，等敏感信息，DemoVip(就是很久以前的beggarVIP)

3. local_music 包含10个字段

这表就是对本地音乐及下载音乐的一个汇总表。

4. play_history 包含13个字段，主要是对播放列表的音乐信息进行了一个汇总。

5. 最后一个表xm_user 主要是对用户信息进行保存

虽然不知道这些信息暴露出来会发生什么，也许什么也不会发生，但是，基本的加密我觉得是必要的。

欢迎转载，请注明原文地址即可。