打印

非官方 Xcode 编译出来的 app 被注入恶意的代码（网易云音乐、12306 和滴滴打车）

leica

夜莺

摄影组

leica sennheiser

帖子: 35905
精华: 1
积分: 72710
激骚: 4161 度
爱车: 电影版L级擎天柱
主机: Playstation 3
相机: Canon
手机: Blackberry
来自: 暗夜精灵
注册时间: 2006-1-6

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆ TGFC王者农药勋章★

发短消息
加为好友
当前离线

91^# 大中小发表于 2015-9-18 22:24 只看该作者

赶紧升级吧，那群混蛋厂商。。。。。。。。。。。。。。。。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

92^# 大中小发表于 2015-9-18 22:42 只看该作者

引用:

原帖由 zhang777 于 2015-9-18 21:12 发表
posted by wap, platform: Chrome
你理解的恶意代码和这里的恶意代码是两回事。这里说的就是把被编译的程序中的信息往第三方服务器上传，就算不能获得机器里面其他app的数据，或者全局的数据，只要这段代码能把有程序 ...

回看了下帖子，确实是我想错了方向。

被篡改的xcode，等于集成了一个第三方分享的sdk，功能就是把TextField的输入值上传外网，而这也确实算是个合法的ipa。

不过这种就是属于恶意业务逻辑了，app store审核不出？

TOP

limboking

魔王撒旦

帖子: 6942
精华: 0
积分: 22968
激骚: 1332 度
爱车
主机
相机
手机
注册时间: 2006-6-23

PS区大会员奖☆☆ PS区侠盗飞车V入格奖☆ TGFC 2014新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

93^# 大中小发表于 2015-9-18 22:55 只看该作者

引用:

原帖由 wangmax 于 2015-9-18 22:42 发表

回看了下帖子，确实是我想错了方向。

被篡改的xcode，等于集成了一个第三方分享的sdk，功能就是把TextField的输入值上传外网，而这也确实算是个合法的ipa。

不过这种就是属于恶意业务逻辑了，app store审核 ...

app store哪知道你代码里写的什么...

TOP

bigbigsmallstar

天外飞仙

帖子: 10976
精华: 0
积分: 36893
激骚: 476 度
爱车
主机: 索任微三界合一
相机: SONY
手机: iPhone 6 Plus
注册时间: 2007-11-3

PS区 2010新年白金奖☆☆☆☆ PS区 2011新年白金奖☆☆☆☆ PS区 2012新年白金奖☆☆☆☆ PS区 2013新年白金奖☆☆☆☆ PS区 2014新年白金奖☆☆☆☆ PS区 2015新年白金奖☆☆☆☆ PS区 2016新年白金奖☆☆☆☆ PS区 2017新年白金奖☆☆☆☆ PS区 2018新年白金奖☆☆☆☆ PS区 HOME原住民奖☆☆ PS区 PS4主机首发纪念奖★ PS区大会员奖☆☆ PS区购物狂人奖☆☆☆☆ PS区生还者入格奖☆ PS区索饭认证☆☆ PS区网战狂人奖★☆☆☆ PS区侠盗飞车V入格奖☆ PS区携带达人VITA命☆ PS区游戏至尊奖★ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆ 数码区 iPhone6 Plus发售纪念☆☆☆

发短消息
加为好友
当前离线

94^# 大中小发表于 2015-9-18 23:13 只看该作者

需不需要改密码？这个工程太大了……

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

95^# 大中小发表于 2015-9-18 23:18 只看该作者

引用:

原帖由 limboking 于 2015-9-18 22:55 发表

app store哪知道你代码里写的什么...

编译器是他们的，反编译什么的都是轻轻松松，但据说他们没空看代码，肯定有自动化手段。

app store审核政策非常严格，合法ipa都是屡屡被卡。

看看他们的政策：
17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。

所以想通过alertview的确认，就直接调用上传功能，应该是会被卡的，也不知道国内这些app是怎么混过去的。

TOP

finalx

龜龜

小黑屋

龜小公

帖子: 3630
精华: 0
积分: 26115
激骚: 149 度
爱车: 大腿
主机: 鸡鸡
相机: 眼子
手机
来自: 動物莊園
注册时间: 2007-2-4

发短消息
加为好友
当前离线

96^# 大中小发表于 2015-9-18 23:56 只看该作者

posted by wap, platform: MAC OS X

引用:

原帖由 @wangmax 于 2015-9-18 23:18 发表
编译器是他们的，反编译什么的都是轻轻松松，但据说他们没空看代码，肯定有自动化手段。

app store审核政策非常严格，合法ipa都是屡屡被卡。

看看他们的政策：
17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。

所以想通过alertview的确认，就直接调用上传功能，应该是会被卡的，也不知道国内这些app是怎么混过去的。

反编译轻轻松松喷了，obj-c,swift 又不像prolog那种形式逻辑的语言，根本不具备backward能力。
另外llvm,clang是开源的。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

97^# 大中小发表于 2015-9-19 08:52 只看该作者

也不知道网易这些公司的测试组是干什么吃的。
恶意业务逻辑上传数据，网络中完全可以截获，难道他们不抓包分析的么。

TOP

威尼斯睡裤

混世魔头

帖子: 3514
精华: 0
积分: 70774
激骚: 313 度
爱车
主机
相机: G10
手机
注册时间: 2009-8-5

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆

发短消息
加为好友
当前离线

98^# 大中小发表于 2015-9-19 10:03 只看该作者

高德地图也有我操了, 国内这帮软件公司都他妈的是傻逼么

TOP

lrj2u

混世魔头

帖子: 2368
精华: 1
积分: 11607
激骚: 472 度
爱车
主机
相机
手机
注册时间: 2002-11-26

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆

发短消息
加为好友
当前离线

99^# 大中小发表于 2015-9-19 10:42 只看该作者

http://www.cnbeta.com/articles/431481.htm

XcodeGhost作者凌晨现身微博并公开源码称只是实验项目

引用:

XcodeGhost事件的爆出着实让全国的iOS应用开发者和用户吓出一身冷汗，今天凌晨4:40分，该事件的始作俑者以@XcodeGhost-Author的身份在新浪微博贴出致歉声明，称其只是一个实验性项目，并没有任何包含威胁性的行为。并公开了源码，从源码看可信度较高。

微博原文访问入口:
http://weibo.com/u/5704632164
"XcodeGhost" Source 关于所谓”XcodeGhost”的澄清
首先，我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验，没有任何威胁性行为，详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost
所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现：修改Xcode编译配置文本可以加载指定的代码文件，于是我写下上述附件中的代码去尝试，并上传到自己的网盘中。
在代码中获取的全部数据实际为基本的app信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外，没有获取任何其他数据。需要郑重说明的是：出于私心，我在代码加入了广告功能，希望将来可以推广自己的应用（有心人可以比对附件源代码做校验）。但实际上，从开始到最终关闭服务器，我并未使用过广告功能。而在10天前，我已主动关闭服务器，并删除所有数据，更不会对任何人有任何影响。
愿谣言止于真相，所谓的"XcodeGhost"，以前是一次错误的实验，以后只是彻底死亡的代码而已。
需要强调的是，XcodeGhost不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。
再次真诚的致歉，愿大家周末愉快。

TOP

zhaolinjia

N64 FANS

主公

MAC FANS

帖子: 117421
精华: 5
积分: 214724
激骚: 41823 度
爱车: 头像：早安少女钱琳
主机: Nintendo64
相机: Canon IXUS 400
手机: Nokia E63
来自: 北京
注册时间: 2002-7-20

PS区大会员奖☆☆ PS区大收藏家奖☆☆☆ PS区生还者入格奖☆ PS区侠盗飞车V入格奖☆ PS区携带达人VITA命☆ TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆ 任区任饭认证☆☆ 数码区 iPhone6 Plus发售纪念☆☆☆ 数码区 iPhone6 发售纪念☆☆☆ 水区参议员勋章★☆ 水区达人认证☆☆☆