posted by wap, platform: Chrome

引用:

原帖由 @VEVAN  于 2015-9-22 10:51 发表
干不了什么？自欺欺人...

那你说说XCodeGhost能干什么呗，现在网上说得煞有介事的恐吓文太多了，还真想看看有什么新的说辞。

posted by wap, platform: iPhone

引用:

原帖由 @小文  于 2015-9-22 10:57 发表
那你说说XCodeGhost能干什么呗，现在网上说得煞有介事的恐吓文太多了，还真想看看有什么新的说辞。

网易云音乐需要读取通讯录权限，我不知道一个音乐软件干嘛要读通讯录，所以被我关了。

posted by wap, platform: SONY Xperia Z2
文片虚片合力出击

引用:

原帖由 小文 于 2015-9-22 10:57 发表
posted by wap, platform: Chrome
那你说说XCodeGhost能干什么呗，现在网上说得煞有介事的恐吓文太多了，还真想看看有什么新的说辞。

http://drops.wooyun.org/papers/9024
这里对源码的分析和自建服务器模拟恶意行为的攻击实例，自己看吧
懒得看的就看下总结好了：
Response方法中根据服务器下发的不同数据，解析成不同的命令执行，根据我们分析，此样本大致支持4种远程命令，分别是：设置sleep时长、窗口消息、url scheme、appStore窗口。
通过4种远程命令的单独或组合使用可以产生多种攻击方式：比如下载安装企业证书的App；弹AppStore的应用进行应用推广；弹钓鱼页面进一步窃取用户信息；如果用户手机中存在某url scheme漏洞，还可以进行url scheme攻击等。

虽然文章里只模拟了上面四种，但通过url scheme可以做的事情太多了。
对了，unity的开发包也中刀了，貌似同一个人（组织）干的，这回可是跨平台了，大家都小心吧。

posted by wap, platform: SONY Xperia Z2

引用:

原帖由 @FoxfoO  于 2015-9-22 12:27 发表
网易云音乐需要读取通讯录权限，我不知道一个音乐软件干嘛要读通讯录，所以被我关了。

识别你通讯录里谁在用网易云音乐。

posted by wap, platform: iPhone

引用:

原帖由 @VEVAN  于 2015-9-22 13:15 发表
http://drops.wooyun.org/papers/9024
这里对源码的分析和自建服务器模拟恶意行为的攻击实例，自己看吧
懒得看的就看下总结好了：
Response方法中根据服务器下发的不同数据，解析成不同的命令执行，根据我们分析，此样本大致支持4种远程命令，分别是：设置sleep时长、窗口消息、url scheme、appStore窗口。
通过4种远程命令的单独或组合使用可以产生多种攻击方式：比如下载安装企业证书的App；弹AppStore的应用进行应用推广；弹钓鱼页面进一步窃取用户信息；如果用户手机中存在某url scheme漏洞，还可以进行url scheme攻击等。

虽然文章里只模拟了上面四种，但通过url scheme可以做的事情太多了。
对了，unity的开发包也中刀了，貌似同一个人（组织）干的，这回可是跨平台了，大家都小心吧。

放屁，还用URL schame能做的事情太多了，喷了，这api是苹果公开给开发者的，以苹果的尿性自己去想想能做多少事

posted by wap, platform: Chrome

引用:

原帖由 @VEVAN  于 2015-9-22 13:15 发表
http://drops.wooyun.org/papers/9024
这里对源码的分析和自建服务器模拟恶意行为的攻击实例，自己看吧
懒得看的就看下总结好了：
Response方法中根据服务器下发的不同数据，解析成不同的命令执行，根据我们分析，此样本大致支持4种远程命令，分别是：设置sleep时长、窗口消息、url scheme、appStore窗口。
通过4种远程命令的单独或组合使用可以产生多种攻击方式：比如下载安装企业证书的App；弹AppStore的应用进行应用推广；弹钓鱼页面进一步窃取用户信息；如果用户手机中存在某url scheme漏洞，还可以进行url scheme攻击等。

虽然文章里只模拟了上面四种，但通过url scheme可以做的事情太多了。
对了，unity的开发包也中刀了，貌似同一个人（组织）干的，这回可是跨平台了，大家都小心吧。

一个一个说

下载安装企业证书的App：这无需中什么木马，这是一个正常的操作，用于企业应用部署，但现在确实被你国互联网企业用来当盗版app分发了。不是说这个没问题，但这个和木马没有关系。

弹AppStore应用进行推广：只是弹，也不能强制你购买，有点烦人但这个没什么危害。

钓鱼页面：虽然它无法直接实施危害行为，但可以借这个进行下一步的骗术。类似于你家有电话机，你就有可能接到诈骗电话，虽然这不是电话机的错，但由于之前你家电话有审核过滤，使得你非常信任这台电话机，那么在一定程度上也使你受骗的几率提高了。

URL Schema是能做很多事情，但也都需要用户进行确认操作，不用太过惊恐，以为装了中木马的app整个人都不安全了。确实应该加点小心，但也没必要因噎废食。

引用:

原帖由 kives 于 2015-9-22 13:20 发表
posted by wap, platform: iPhone
放屁，还用URL schame能做的事情太多了，喷了，这api是苹果公开给开发者的，以苹果的尿性自己去想想能做多少事

程序行为层面的合法不代表软件没有恶意，结合虚假提示或钓鱼页面，再发你一个alipay的URL schame（当然这个url绝对绝对合法，就是一个跳转支付嘛）会发生什么，能做些什么，大家想象咯...
PS.理性讨论，嘴巴干净点

引用:

原帖由 小文 于 2015-9-22 13:33 发表
posted by wap, platform: Chrome
一个一个说

下载安装企业证书的App：这无需中什么木马，这是一个正常的操作，用于企业应用部署，但现在确实被你国互联网企业用来当盗版app分发了。不是说这个没问题，但这个和木 ...

自动安装企业证书相当于帮你开了一扇关不上的门，而且还不是你自己选择的。
重要的是这些远程命令组合起来的用法，比如楼上的，欺骗性和威胁都非常大。

posted by wap, platform: Chrome

引用:

原帖由 @VEVAN  于 2015-9-22 13:47 发表
自动安装企业证书相当于帮你开了一扇关不上的门，而且还不是你自己选择的。
重要的是这些远程命令组合起来的用法，比如楼上的，欺骗性和威胁都非常大。

自动安装是做不到的吧，现在xx助手也都是访问一个URL，然后弹出一个对话框问你要不要安装

引用:

原帖由 小文 于 2015-9-22 13:56 发表
posted by wap, platform: Chrome
自动安装是做不到的吧，现在xx助手也都是访问一个URL，然后弹出一个对话框问你要不要安装

我说的是证书，既然跳过了APPSTORE，XX助手的名称什么的，如果是真实攻击的话会被改掉的。

posted by wap, platform: Chrome

引用:

原帖由 @VEVAN  于 2015-9-22 14:03 发表
我说的是证书，既然跳过了APPSTORE，XX助手的名称什么的，如果是真实攻击的话会被改掉的。

安装xx助手也不经过AppStore的，这些名称本来就可以自定义。

没有经验的用户可能不会觉得从AppStore外安装一个app有什么不对，因此安装了调用私有api的app。但这种事情不中木马也做得到，而且从过去到现在一直在发生。

引用:

原帖由 beterhans 于 2015-9-22 00:10 发表
posted by wap, platform: iPad
人家可以点击忘记密码

如果支付宝账户是邮箱而不是手机号，也能盗吗？它能获取的到支付宝账号不

posted by wap, platform: MAC OS X

引用:

原帖由 @VEVAN  于 2015-9-22 13:39 发表
程序行为层面的合法不代表软件没有恶意，结合虚假提示或钓鱼页面，再发你一个alipay的URL schame（当然这个url绝对绝对合法，就是一个跳转支付嘛）会发生什么，能做些什么，大家想象咯...
PS.理性讨论，嘴巴干净点

能发生什么呀？现在别的app调用支付宝支付都是url scheme，跳转完了显示的是支付宝支付的界面
用户看到手机突然跳出支付宝让你付款，然后直接就听话的付款啦？
而且iOS9的跳转全都要用户确认
还有装企业证书那个，你不点确认装不了。另外iOS9装了企业证书用户不去设置里手动点信任默认都不启用

posted by wap, platform: Meizu MX4 Pro
我只是进来看虚骗和虚粉们表演的，你们继续