» 您尚未登录:请 登录 | 注册 | 标签 | 帮助 | 小黑屋 |


 104 1234567
发新话题
打印

非官方 Xcode 编译出来的 app 被注入恶意的代码(网易云音乐、12306 和滴滴打车)

wangmax

小黑屋

帖子
1384 
精华
0 
积分
10914 
激骚
49 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2006-6-23 
61# 发表于 2015-9-18 17:24  只看该作者
引用:
原帖由 yang_yii 于 2015-9-18 17:13 发表
posted by wap, platform: MAC OS X
通信录,相机,照片等,都需要用户授权。
但是现在的app随便编一个借口就让用户点同意,或者用户不同意,app主要功能不让用。
没地方写“借口”,授权界面是框架提供,除了app显示名称外,其他都无法定制。
你这个就不属于非法代码了,而是业务层面的恶意获取了。
用ip拍不雅视频,就是这类行为了,但这个和突破SDK,绕过安全机制,不是一个概念。

TOP

jun4rui

大都督

帖子
74023 
精华
9 
积分
108422 
激骚
2946 度 
爱车
宋 
主机
哈 
相机
娜 
手机
酱 
来自
守望先锋 
注册时间
2003-1-15 
62# 发表于 2015-9-18 17:26  只看该作者
posted by wap, platform: Chrome
引用:
原帖由 @beterhans  于 2015-9-17 21:18 发表
第三方下载是傻逼

但是有的人是找出了官方的隐藏地址下的不过没有用浏览器下 而是贴到迅雷里下

结果 迅雷偷梁换柱 下来的是被动了手脚的
其实迅雷只是一个猜测吧?按道理来说下载软件会匹配哈希的吧?不过我用QQ旋风下也被替换过比的,而且是个差别挺大的软件

TOP

被K汉姆

天外飞仙

帖子
13903 
精华
0 
积分
31230 
激骚
568 度 
爱车
 
主机
 
相机
 
手机
 
来自
sc 
注册时间
2002-11-18 
63# 发表于 2015-9-18 17:26  只看该作者
幸好我的xcode还是没问题的
不过下载的app就不知道了

TOP

qyqgpower

魔王撒旦

帖子
7374 
精华
0 
积分
30673 
激骚
258 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2002-4-2 
64# 发表于 2015-9-18 17:30  只看该作者
posted by wap, platform: SONY Xperia Z2
引用:
原帖由 @wangmax  于 2015-9-18 17:24 发表
没地方写“借口”,授权界面是框架提供,除了app显示名称外,其他都无法定制。
你这个就不属于非法代码了,而是业务层面的恶意获取了。
用ip拍不雅视频,就是这类行为了,但这个和突破SDK,绕过安全机制,不是一个概念。
iOS7的授权接口就可以加入提示信息告诉用户获取权限的理由了,你做iOS开发这么久不知道?

TOP

qyqgpower

魔王撒旦

帖子
7374 
精华
0 
积分
30673 
激骚
258 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2002-4-2 
65# 发表于 2015-9-18 17:32  只看该作者
posted by wap, platform: SONY Xperia Z2
引用:
原帖由 @jun4rui  于 2015-9-18 17:26 发表
其实迅雷只是一个猜测吧?按道理来说下载软件会匹配哈希的吧?不过我用QQ旋风下也被替换过比的,而且是个差别挺大的软件
别说hash,这种情况下dmg的大小都应该是不一样的,迅雷连最基本的文件大小都没有匹配就用了自己库里的文件

TOP

jun4rui

大都督

帖子
74023 
精华
9 
积分
108422 
激骚
2946 度 
爱车
宋 
主机
哈 
相机
娜 
手机
酱 
来自
守望先锋 
注册时间
2003-1-15 
66# 发表于 2015-9-18 17:35  只看该作者
posted by wap, platform: Chrome
引用:
原帖由 @qyqgpower  于 2015-9-17 21:32 发表
别说hash,这种情况下dmg的大小都应该是不一样的,迅雷连最基本的文件大小都没有匹配就用了自己库里的文件
妈的啊,真是醉了

TOP

wangmax

小黑屋

帖子
1384 
精华
0 
积分
10914 
激骚
49 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2006-6-23 
67# 发表于 2015-9-18 17:35  只看该作者
引用:
原帖由 qyqgpower 于 2015-9-18 17:30 发表
posted by wap, platform: SONY Xperia Z2
iOS7的授权接口就可以加入提示信息告诉用户获取权限的理由了,你做iOS开发这么久不知道?
脱产已久,谢谢提醒。

TOP

tainey

魔王撒旦

帖子
7693 
精华
0 
积分
51831 
激骚
2230 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2004-12-27 
68# 发表于 2015-9-18 17:40  只看该作者
posted by wap, platform: iPhone
不会吧 问题是网易12306 这些软件有权限获取app id么

TOP

无印凉粉

禁止访问

魔神至尊

红房子

帖子
21576 
精华
0 
积分
35368 
激骚
1575 度 
爱车
沃德十佳LTG 
主机
MAME战一切 
相机
索尼大法好 
手机
索移大法好 
注册时间
2009-2-20 
69# 发表于 2015-9-18 17:43  只看该作者
引用:
原帖由 532 于 2015-9-18 16:47 发表


先别运行就是了233
删了,等后续,真特么可怕。

TOP

adachimk3

混世魔头

帖子
4386 
精华
0 
积分
19247 
激骚
261 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2000-12-1 
70# 发表于 2015-9-18 18:13  只看该作者
posted by wap, platform: iPhone
据说还有微信6.2.5

TOP

红叶

银河飞将

帖子
36401 
精华
0 
积分
64852 
激骚
5018 度 
爱车
保十洁 
主机
没有 
相机
海欧 
手机
 
注册时间
2002-12-16 
71# 发表于 2015-9-18 18:16  只看该作者
posted by wap, platform: UC
处女一秒变大保健技师

TOP

Kuzuryuusen

屎上最强围观饭

魔神至尊

MOOOOOOO!

帖子
19730 
精华
2 
积分
36881 
激骚
558 度 
爱车
YYing 
主机
玩ing 
相机
啥? 
手机
 
注册时间
2004-1-10 
72# 发表于 2015-9-18 18:24  只看该作者
posted by wap
网上有人总结的列表。。。。
附件: 您所在的用户组无法下载或查看附件

TOP

塌方

魔王撒旦

帖子
6268 
精华
0 
积分
10961 
激骚
456 度 
爱车
 
主机
 
相机
 
手机
 
注册时间
2012-2-28 
73# 发表于 2015-9-18 18:32  只看该作者
posted by wap, platform: GOOGLE Nexus 5
osx的网易云也有问题?

TOP

leica

夜莺

摄影组

leica sennheiser

帖子
35905 
精华
1 
积分
72710 
激骚
4161 度 
爱车
电影版L级擎天柱 
主机
Playstation 3 
相机
Canon 
手机
Blackberry 
来自
暗夜精灵 
注册时间
2006-1-6 
74# 发表于 2015-9-18 18:38  只看该作者
什么,微信也中招了么。。。。。。。。。。。。。。。。。。。。

TOP

小文

我就是我

管理员

帖子
30724 
精华
3 
积分
59932 
激骚
1353 度 
爱车
PS&DC&PS2&GBA&GBA-SP&PSP 
主机
 
相机
 
手机
 
注册时间
2000-11-10 
75# 发表于 2015-9-18 18:38  只看该作者
posted by wap, platform: iPhone
引用:
原帖由 @qyqgpower  于 2015-9-18 17:30 发表
iOS7的授权接口就可以加入提示信息告诉用户获取权限的理由了,你做iOS开发这么久不知道?
还有一个方法就是在弹出系统授权窗口之前先弹出一个窗口,上面写些坑蒙拐骗的话引诱用户点确认

TOP

 104 1234567
发新话题
     
官方公众号及微博