标题: 非官方 Xcode 编译出来的 app 被注入恶意的代码（网易云音乐、12306 和滴滴打车） [打印本页]

---

作者: 风间星魂    时间: 2015-9-18 09:51     标题: 非官方 Xcode 编译出来的 app 被注入恶意的代码（网易云音乐、12306 和滴滴打车）

http://drops.wooyun.org/news/8864


注入的代码有iOS弹窗代码的回调 0000000000001e75 t -[UIWindow(didFinishLaunchingWithOptions) alertView:didDismissWithButtonIndex:] 有很大可能性是盗取 icloud 密码。否则偷偷注入的密码不会随便弹窗让人发现它的存在。

目前，有 Twitter 网友使用 Charles 软件分析得到，至少有新版网易云音乐、中信银行动卡空间、12306 和滴滴打车等应用被注入 XcodeGhost 代码

[ 本帖最后由 风间星魂 于 2015-9-18 14:28 编辑 ]

---

作者: zztg    时间: 2015-9-18 09:54

posted by wap, platform: MAC OS X
喷了，xcode还能从非官方渠道下载啊，不都是app store么。

引用:

随后很多留言的小伙伴们纷纷表示中招，@谁敢乱说话表示：”还是不能相信迅雷，我是把官网上的下载URL复制到迅雷里下载的，还是中招了。我说一下：有问题的Xcode6.4.dmg的sha1是：a836d8fa0fce198e061b7b38b826178b44c053a8，官方正确的是：672e3dcb7727fc6db071e5a8528b70aa03900bb0，大家一定要校验。”另外还有一位小伙伴表示他是在百度网盘上下载的，也中招了。

本帖最后由 zztg 于 2015-9-18 09:56 通过手机版编辑

---

作者: arex    时间: 2015-9-18 09:55

很多人嫌app store下载速度慢...

还有就是骗新手

---

作者: 小文    时间: 2015-9-18 09:56

posted by wap, platform: Chrome
喷了。。。城会玩

---

作者: zztg    时间: 2015-9-18 09:57

posted by wap, platform: MAC OS X
以前改dns速度还挺快的吧，现在又慢了么。

---

作者: 道克斯    时间: 2015-9-18 10:06

posted by wap, platform: iPad
喷了，就这智商还编程呢

---

作者: 风间星魂    时间: 2015-9-18 11:46

好像其中一个是网易云音乐

---

作者: route    时间: 2015-9-18 13:02

posted by wap, platform: Chrome
网易云音乐是用非官方下载的Xcode编译的？
网易用这种Xcode？

---

作者: 见风    时间: 2015-9-18 13:03

posted by wap, platform: iPhone
标题看着让很多人看不懂了

---

作者: xanver    时间: 2015-9-18 13:28

posted by wap, platform: SONY Xperia Z2
蒸米，迅迪 @阿里移动安全

现在正在推广某音乐吧

---

作者: hpl071dk    时间: 2015-9-18 13:36

posted by wap, platform: iPhone
妈的，网银和支付宝的密码也有可能泄露吧？

---

作者: eva3d    时间: 2015-9-18 13:41

posted by wap, platform: Firefox

引用:

原帖由 @route  于 2015-9-18 13:02 发表
网易云音乐是用非官方下载的Xcode编译的？
网易用这种Xcode？

一点都不稀奇，网易iOS开发部一水的黑苹果

---

作者: beterhans    时间: 2015-9-18 13:44

posted by wap, platform: iPhone
很正常 很多干it行业的人依然用360

---

作者: BR    时间: 2015-9-18 15:29

posted by wap, platform: Chrome
细思甚怖，这手段之高超痕迹抹的干净真是高手所为，深挖下去记录用户操作习惯及帐号密码不知是否成为可能。国内开发者再次露出下限

---

作者: jun4rui    时间: 2015-9-18 15:32

posted by wap, platform: Chrome


据说还有高德、联通手机营业厅、豆瓣、简书、中信银行动卡空间

本帖最后由 jun4rui 于 2015-9-17 19:35 通过手机版编辑

---

作者: 道克斯    时间: 2015-9-18 15:33

网易太让我失望了，不如一直用虾米

---

作者: wangmax    时间: 2015-9-18 15:35

引用:

原帖由 eva3d 于 2015-9-18 13:41 发表
posted by wap, platform: Firefox
一点都不稀奇，网易iOS开发部一水的黑苹果

黑苹果，不代表xcode也是黑的

---

作者: georgebartom    时间: 2015-9-18 15:45

posted by wap, platform: iPad
安全的app store

---

作者: wangmax    时间: 2015-9-18 15:45

[UIWindow(didFinishLaunchingWithOptions) alertView:didDismissWithButtonIndex:]
这句半天没看懂

---

作者: wangmax    时间: 2015-9-18 15:48

不是很明白，非法代码是如何能骗过编译器的？
即便出奇迹发布成功了，在未越狱环境中是如何能再绕过安全机制的

---

作者: banditcat    时间: 2015-9-18 15:48

posted by wap, platform: iPhone
网易就这水平？？

---

作者: BR    时间: 2015-9-18 15:51

posted by wap, platform: Chrome
同20L,这种嵌入到应用中获取用户数据，在未越狱框架下还是只能获取到系统允许APP做的那些东西吧。那么如果APP中是允许有内购这一权限，可以通过代码制造弹窗假象，然后让用户输入apple id帐号密码来获取密码？

---

作者: beterhans    时间: 2015-9-18 15:53

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-18 15:48 发表
不是很明白，非法代码是如何能骗过编译器的？
即便出奇迹发布成功了，在未越狱环境中是如何能再绕过安全机制的

带和是合法的 编译器被动了手脚

比如我要完成 功能 A
正常编译器 完成了功能 A
但是被动了手脚的编译器 给你加了 功能B

编译出来的东西自然也能运行 是合法的 这个手段太高了。 不过这个只有在国内有用 因为国人喜欢从非官方渠道拿东西

---

作者: jun4rui    时间: 2015-9-18 15:54

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-17 19:48 发表
不是很明白，非法代码是如何能骗过编译器的？
即便出奇迹发布成功了，在未越狱环境中是如何能再绕过安全机制的

源代码是正常的，编译器动了手脚会在某些地方插入特定的代码，而这些代码其实也是正常的API调用只是做了不正常的事情而已，例如向某个服务器发数据。

所以发布也能成功，APPStore审查只知道这个软件会联网，并不会具体说会连到哪个服务器，就是普通的网络收发数据，自然也可以通过验证。

---

作者: jun4rui    时间: 2015-9-18 15:55

posted by wap, platform: Chrome

引用:

原帖由 @banditcat  于 2015-9-17 19:48 发表
网易就这水平？？

其实不只是网易，你看看已知的名单就会发现很多公司都这样，这些公司没理由都用黑苹果编译吧？我觉得这个有问题的编译器是怎么传播的，还是要自己排查一下，不然以后还是会出问题。

---

作者: georgebartom    时间: 2015-9-18 15:59

posted by wap, platform: iPad
请注意！！！我要收回我前面说的暂时没有更大危害的话！根据乌云网上一个评论指出，该恶意代码除了会收集 App 使用信息外还可能会在 App 里以弹窗的形式骗取用户的 iCloud 或其他密码。我还没有分析和遇到这种弹窗，但是大家尽量小心！对策是，App 里突然出现标准弹窗时，选不！

---

作者: 532    时间: 2015-9-18 16:03

  太失望了等了这么久这片那片都没几个进来洗地的

---

作者: pacman    时间: 2015-9-18 16:04

posted by wap, platform: 华为 荣耀6 联通版
这还有审批呢，苹果吃屎的啊，必须死

---

作者: LTFYH    时间: 2015-9-18 16:06

看来以后下IDE工具都要小心了

---

作者: qyqgpower    时间: 2015-9-18 16:11

posted by wap, platform: SONY Xperia Z2

引用:

原帖由 @pacman  于 2015-9-18 16:04 发表
这还有审批呢，苹果吃屎的啊，必须死

审批能看得出来应用内访问的服务器是不是有问题？万一是什么正规分析服务呢？

现在已经闹出来了，那么苹果大可以加入过滤这个地址的分析规则，在发现之前你给我说说什么思路可以预防？

---

作者: beterhans    时间: 2015-9-18 16:13

posted by wap, platform: Chrome

引用:

原帖由 @pacman  于 2015-9-18 16:04 发表
这还有审批呢，苹果吃屎的啊，必须死

这种审批看不出来的

---

作者: wangmax    时间: 2015-9-18 16:14

引用:

原帖由 beterhans 于 2015-9-18 15:53 发表
posted by wap, platform: Chrome
带和是合法的 编译器被动了手脚

比如我要完成 功能 A
正常编译器 完成了功能 A
但是被动了手脚的编译器 给你加了 功能B

编译出来的东西自然也能运行 是合法的 这个手段太高 ...

这样发布出来的ipa，能否安装都是问题，更别提绕过ios的安全机制了。

---

作者: kelaredbull    时间: 2015-9-18 16:14

posted by wap, platform: iPad
V2ex上居然还有人给网易洗地，笑死了

---

作者: wpang    时间: 2015-9-18 16:15

posted by wap, platform: MAC OS X
幸亏不用~

---

作者: beterhans    时间: 2015-9-18 16:15

posted by wap, platform: Chrome
不过看这个原理来说 Android 也可能有相同问题

一个程序员可以 从国内 下载网站 下载 被修改的 编译器
那么其他 Android程序员也可能下载到 被修改的 编译器

---

作者: wangmax    时间: 2015-9-18 16:17

引用:

原帖由 jun4rui 于 2015-9-18 15:54 发表
posted by wap, platform: Chrome
源代码是正常的，编译器动了手脚会在某些地方插入特定的代码，而这些代码其实也是正常的API调用只是做了不正常的事情而已，例如向某个服务器发数据。

所以发布也能成功，APPStor ...

"正常的API调用只是做了不正常的事情"
相信我，没有这种可能。
同时，这个和app审核没有关系，即便没有审核，也无法安装到ios上去。
ipa，并不是只有app store上才有的，说的是非越狱环境。

---

作者: jun4rui    时间: 2015-9-18 16:19

posted by wap, platform: Chrome

引用:

原帖由 @beterhans  于 2015-9-17 20:15 发表
不过看这个原理来说 Android 也可能有相同问题

一个程序员可以 从国内 下载网站 下载 被修改的 编译器
那么其他 Android程序员也可能下载到 被修改的 编译器

当然可以，这个有很成熟的理论了

---

作者: 532    时间: 2015-9-18 16:20

引用:

原帖由 beterhans 于 2015-9-18 16:15 发表
posted by wap, platform: Chrome
不过看这个原理来说 Android 也可能有相同问题

一个程序员可以 从国内 下载网站 下载 被修改的 编译器
那么其他 Android程序员也可能下载到 被修改的 编译器

apk的根本就是能明着来，不然哪来那么多修改版的qq能同时登录巴拉巴拉贴吧去广告版啥的

---

作者: endrollex    时间: 2015-9-18 16:20

V2EX上有代码分析，就是加了个信息收集函数，然后上传到仿冒网站

---

作者: wangmax    时间: 2015-9-18 16:20

打包ipa的方式非常多，10多种。
但要安装上去，并能绕过安全机制，是另外一回事。

---

作者: finalx    时间: 2015-9-18 16:20

posted by wap, platform: iPad
编译器注入，记得这玩法的创始人是Dennis Ritchie。。。

---

作者: BR    时间: 2015-9-18 16:20

posted by wap, platform: Chrome
我pad上经常没事弹窗，当时还琢磨是icloud自动备份了还是怎么了，输入密码没几秒又弹，不厌其烦，难道真让这种东西拿去刷榜了？

---

作者: 无印凉粉    时间: 2015-9-18 16:20

等等，这可以理解为appstore里的app被挂马？云音乐和12306必须删了？

---

作者: wangmax    时间: 2015-9-18 16:21

谁能拿出一个ipa，可以在非越狱的ios8上运行，包含恶意代码。
有案例么。

---

作者: chronicle1st    时间: 2015-9-18 16:25

真有意思，xcode是一码事，程序审核又是另外一码事。
如果xcode编译通过就绝对安全，那要审查机制有屁用。

哦反正这个锅还是网易背

---

作者: jun4rui    时间: 2015-9-18 16:25

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-17 20:17 发表
"正常的API调用只是做了不正常的事情"
相信我，没有这种可能。
同时，这个和app审核没有关系，即便没有审核，也无法安装到ios上去。
ipa，并不是只有app store上才有的，说的是非越狱环境。

我没看那个理论，我常识解析一下，不对咱们再分析；

正常的编译方式是： 源码->语法分析->编译成二进制
我猜测这个办法可能是：源码->源码中插入特定代码->语法分析->编译成二进制

所以也可以和正常的IPA编译一样加入签名验证什么的

---

作者: wangmax    时间: 2015-9-18 16:28

引用:

原帖由 jun4rui 于 2015-9-18 16:25 发表
posted by wap, platform: Chrome
我没看那个理论，我常识解析一下，不对咱们再分析；

正常的编译方式是： 源码->语法分析->编译成二进制
我猜测这个办法可能是：源码->源码中插入特定代码->语法分析->编译成二进 ...

不符合iOS sdk规范的ipa，安装运行都是问题，能绕过安全机制根本没有案例。

---

作者: wangmax    时间: 2015-9-18 16:30

引用:

原帖由 chronicle1st 于 2015-9-18 16:25 发表
真有意思，xcode是一码事，程序审核又是另外一码事。
如果xcode编译通过就绝对安全，那要审查机制有屁用。

哦反正这个锅还是网易背

你的理解错误，很多合法ipa，都是不需要审核机制就可以给用户安装的。

---

作者: wangmax    时间: 2015-9-18 16:32

这个不需要靠审核机制来实现防火墙。
发布后，直接安装，能执行恶意代码，求案例。

---

作者: beterhans    时间: 2015-9-18 16:41

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-18 16:30 发表
你的理解错误，很多合法ipa，都是不需要审核机制就可以给用户安装的。

那个是 企业 APP

企业 自己制作 APP给员工使用 可以不通过 APP Store 也不用审核
但是企业要向 Apple 提出 证书申请。

但是 聪明的 你国人 用这个证书来做盗版 APP

---

作者: 无印凉粉    时间: 2015-9-18 16:42

你们赶紧告诉我appstore下载的云音乐和12306还能不能用！我已经被吓得删了！

---

作者: wangmax    时间: 2015-9-18 16:45

引用:

原帖由 beterhans 于 2015-9-18 16:41 发表
posted by wap, platform: Chrome
那个是 企业 APP

企业 自己制作 APP给员工使用 可以不通过 APP Store 也不用审核
但是企业要向 Apple 提出 证书申请。

但是 聪明的 你国人 用这个证书来做盗版 APP

问题就是，我们玩了N年的企业版证书，也没发现圈子里谁能发布出超出sdk规范的ipa。
所以在这里求案例，如果有，也是能派大用场了。

---

作者: 532    时间: 2015-9-18 16:47

引用:

原帖由 无印凉粉 于 2015-9-18 16:42 发表
你们赶紧告诉我appstore下载的云音乐和12306还能不能用！我已经被吓得删了！

引用:

原帖由 无印凉粉 于 2015-9-18 16:20 发表
等等，这可以理解为appstore里的app被挂马？云音乐和12306必须删了？

先别运行就是了233

---

作者: yeskey    时间: 2015-9-18 16:51

posted by wap, platform: MAC OS X
把apple id 密码改了，等更新

---

作者: yang_yii    时间: 2015-9-18 16:58

posted by wap, platform: MAC OS X

引用:

原帖由 @wangmax  于 2015-9-18 16:45 发表
问题就是，我们玩了N年的企业版证书，也没发现圈子里谁能发布出超出sdk规范的ipa。
所以在这里求案例，如果有，也是能派大用场了。

上传你的通信录，上传你的使用app时间和习惯等信息。这些动作都是正常动作，不会超出sdk规范。
现在天朝的环境下，要想避开恶意软件，信任机器，信任开发软件都没有任何用的。只有信任人。百度，qq等企业的app早就把用户能收集的信息收集了并且记录在案。

---

作者: wangmax    时间: 2015-9-18 17:03

引用:

原帖由 yang_yii 于 2015-9-18 16:58 发表
posted by wap, platform: MAC OS X
上传你的通信录，上传你的使用app时间和习惯等信息。这些动作都是正常动作，不会超出sdk规范。
现在天朝的环境下，要想避开恶意软件，信任机器，信任开发软件都没有任何用的。只 ...

OC调用通信录，是要先注册权限，是要用户授权的。
这个谁能绕开？求案例

---

作者: u571    时间: 2015-9-18 17:04

只能说在编译器里面塞恶意代码实在太高明，如果androidsdk里面这样干的话，就以目前猴机群魔乱舞的现状，后果简直不可想象。

---

作者: qyqgpower    时间: 2015-9-18 17:06

posted by wap, platform: SONY Xperia Z2
这个不是什么注入编译器，而是作为一个编译时的插件一起给编译进去了，这是本来就允许的，没多高的技术含量。

牛的是想到在xcode里挂马，而且这挂了马的xcode还有这么多傻逼程序员去下载

---

作者: yang_yii    时间: 2015-9-18 17:13

posted by wap, platform: MAC OS X

引用:

原帖由 @wangmax  于 2015-9-18 17:03 发表
OC调用通信录，是要先注册权限，是要用户授权的。
这个谁能绕开？求案例

通信录，相机，照片等，都需要用户授权。
但是现在的app随便编一个借口就让用户点同意，或者用户不同意，app主要功能不让用。

---

作者: beterhans    时间: 2015-9-18 17:18

posted by wap, platform: iPhone

引用:

原帖由 @qyqgpower  于 2015-9-18 17:06 发表
这个不是什么注入编译器，而是作为一个编译时的插件一起给编译进去了，这是本来就允许的，没多高的技术含量。

牛的是想到在xcode里挂马，而且这挂了马的xcode还有这么多傻逼程序员去下载

第三方下载是傻逼

但是有的人是找出了官方的隐藏地址下的不过没有用浏览器下 而是贴到迅雷里下

结果 迅雷偷梁换柱 下来的是被动了手脚的

---

作者: wangmax    时间: 2015-9-18 17:24

引用:

原帖由 yang_yii 于 2015-9-18 17:13 发表
posted by wap, platform: MAC OS X
通信录，相机，照片等，都需要用户授权。
但是现在的app随便编一个借口就让用户点同意，或者用户不同意，app主要功能不让用。

没地方写“借口”，授权界面是框架提供，除了app显示名称外，其他都无法定制。
你这个就不属于非法代码了，而是业务层面的恶意获取了。
用ip拍不雅视频，就是这类行为了，但这个和突破SDK，绕过安全机制，不是一个概念。

---

作者: jun4rui    时间: 2015-9-18 17:26

posted by wap, platform: Chrome

引用:

原帖由 @beterhans  于 2015-9-17 21:18 发表
第三方下载是傻逼

但是有的人是找出了官方的隐藏地址下的不过没有用浏览器下 而是贴到迅雷里下

结果 迅雷偷梁换柱 下来的是被动了手脚的

其实迅雷只是一个猜测吧？按道理来说下载软件会匹配哈希的吧？不过我用QQ旋风下也被替换过比的，而且是个差别挺大的软件

---

作者: 被K汉姆    时间: 2015-9-18 17:26

幸好我的xcode还是没问题的
不过下载的app就不知道了

---

作者: qyqgpower    时间: 2015-9-18 17:30

posted by wap, platform: SONY Xperia Z2

引用:

原帖由 @wangmax  于 2015-9-18 17:24 发表
没地方写“借口”，授权界面是框架提供，除了app显示名称外，其他都无法定制。
你这个就不属于非法代码了，而是业务层面的恶意获取了。
用ip拍不雅视频，就是这类行为了，但这个和突破SDK，绕过安全机制，不是一个概念。

iOS7的授权接口就可以加入提示信息告诉用户获取权限的理由了，你做iOS开发这么久不知道？

---

作者: qyqgpower    时间: 2015-9-18 17:32

posted by wap, platform: SONY Xperia Z2

引用:

原帖由 @jun4rui  于 2015-9-18 17:26 发表
其实迅雷只是一个猜测吧？按道理来说下载软件会匹配哈希的吧？不过我用QQ旋风下也被替换过比的，而且是个差别挺大的软件

别说hash，这种情况下dmg的大小都应该是不一样的，迅雷连最基本的文件大小都没有匹配就用了自己库里的文件

---

作者: jun4rui    时间: 2015-9-18 17:35

posted by wap, platform: Chrome

引用:

原帖由 @qyqgpower  于 2015-9-17 21:32 发表
别说hash，这种情况下dmg的大小都应该是不一样的，迅雷连最基本的文件大小都没有匹配就用了自己库里的文件

妈的啊，真是醉了

---

作者: wangmax    时间: 2015-9-18 17:35

引用:

原帖由 qyqgpower 于 2015-9-18 17:30 发表
posted by wap, platform: SONY Xperia Z2
iOS7的授权接口就可以加入提示信息告诉用户获取权限的理由了，你做iOS开发这么久不知道？

脱产已久，谢谢提醒。

---

作者: tainey    时间: 2015-9-18 17:40

posted by wap, platform: iPhone
不会吧 问题是网易12306 这些软件有权限获取app id么

---

作者: 无印凉粉    时间: 2015-9-18 17:43

引用:

原帖由 532 于 2015-9-18 16:47 发表


先别运行就是了233

删了，等后续，真特么可怕。

---

作者: adachimk3    时间: 2015-9-18 18:13

posted by wap, platform: iPhone
据说还有微信6.2.5

---

作者: 红叶    时间: 2015-9-18 18:16

posted by wap, platform: UC
处女一秒变大保健技师

---

作者: Kuzuryuusen    时间: 2015-9-18 18:24

posted by wap
网上有人总结的列表。。。。

---

作者: 塌方    时间: 2015-9-18 18:32

posted by wap, platform: GOOGLE Nexus 5
osx的网易云也有问题？

---

作者: leica    时间: 2015-9-18 18:38

什么，微信也中招了么。。。。。。。。。。。。。。。。。。。。

---

作者: 小文    时间: 2015-9-18 18:38

posted by wap, platform: iPhone

引用:

原帖由 @qyqgpower  于 2015-9-18 17:30 发表
iOS7的授权接口就可以加入提示信息告诉用户获取权限的理由了，你做iOS开发这么久不知道？

还有一个方法就是在弹出系统授权窗口之前先弹出一个窗口，上面写些坑蒙拐骗的话引诱用户点确认

---

作者: yurinakamura10    时间: 2015-9-18 18:45

小白问下这是咋回事？

---

作者: 论坛之星    时间: 2015-9-18 18:58

连微信都被弄了？

---

作者: wangmax    时间: 2015-9-18 19:59

引用:

原帖由 小文 于 2015-9-18 18:38 发表
posted by wap, platform: iPhone
还有一个方法就是在弹出系统授权窗口之前先弹出一个窗口，上面写些坑蒙拐骗的话引诱用户点确认

AlertView的确认，无法直接调用授权确认，所以没有什么意义。
授权确认是强制用户触发，不能是程序调用，这个机制是绕不过去的。

---

作者: wangmax    时间: 2015-9-18 20:06

授权界面的主标题是无法定制的，而且非常醒目，能自定义的是授权请求描述，视觉权重远低于主标题。

---

作者: 小文    时间: 2015-9-18 20:11

引用:

原帖由 wangmax 于 2015-9-18 19:59 发表

AlertView的确认，无法直接调用授权确认，所以没有什么意义。
授权确认是强制用户触发，不能是程序调用，这个机制是绕不过去的。

你没见过那种吗？先app自己弹出一个窗口，说些允许访问通讯录如何如何好，想怎么醒目怎么醒目，然后再去访问通讯录触发授权确认。这样可以大大提高用户点允许的几率。

---

作者: wangmax    时间: 2015-9-18 20:59

引用:

原帖由 小文 于 2015-9-18 20:11 发表

你没见过那种吗？先app自己弹出一个窗口，说些允许访问通讯录如何如何好，想怎么醒目怎么醒目，然后再去访问通讯录触发授权确认。这样可以大大提高用户点允许的几率。

前面也说了，这些都是业务层面的引导或是诱导，但并没有突破框架约束，也没有绕过安全机制。
现在关注的是非越狱环境，有无突破的可能，暂时没看到成功案例。

---

作者: zhang777    时间: 2015-9-18 21:12

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-18 20:59 发表
前面也说了，这些都是业务层面的引导或是诱导，但并没有突破框架约束，也没有绕过安全机制。
现在关注的是非越狱环境，有无突破的可能，暂时没看到成功案例。

你理解的恶意代码和这里的恶意代码是两回事。这里说的就是把被编译的程序中的信息往第三方服务器上传，就算不能获得机器里面其他app的数据，或者全局的数据，只要这段代码能把有程序中有类似用户密码输入的信息上传到第三方服务器，就已经是非常恶意了，对不对？比如云音乐里面使用网易帐号登录，这里应该没有调用第三方app或者webview，用户名和密码都是透明的，如果把这些东西抓了传到第三方服务器，所有人的网易帐号就保不住了。

你理解的恶意代码是另外一回事。

---

作者: yang_yii    时间: 2015-9-18 21:15

posted by wap, platform: iPhone

引用:

原帖由 @wangmax  于 2015-9-18 20:59 发表
前面也说了，这些都是业务层面的引导或是诱导，但并没有突破框架约束，也没有绕过安全机制。
现在关注的是非越狱环境，有无突破的可能，暂时没看到成功案例。

理论上是无法突破。
但是一个通讯录相关主题app必然要问用户申请电话本权限。用户几乎没有不给权限的理由。就好比你装的微信不也是把电话本，gps，相机，摄像头，麦克风等权限全给了么？微信向后台悄悄发数据太轻松了。

---

作者: ninggu2008    时间: 2015-9-18 21:22

posted by wap, platform: Firefox
我好奇的是苹果的xcode这么容易就被修改了。文件程序签名都没有？微软的VS怎么没人搞？

---

作者: cf3b5    时间: 2015-9-18 21:36

posted by wap, platform: iPhone

引用:

原帖由 @zztg  于 2015-9-18 09:54 发表
喷了，xcode还能从非官方渠道下载啊，不都是app store么。


本帖最后由 zztg 于 2015918 09:56 通过手机版编辑

官方的下载太慢了，所以很多人就从国内的“镜像”点下了

---

作者: memorywind    时间: 2015-9-18 21:38

360扫描了TOP1000，出问题的见下表，还有1000以外的，这次估计要团灭了。

12306        4.5
51卡保险箱        5.0.1   
Lifesmart        1.0.44
滴滴出行        4.0.0.6-4.0.0.0
滴滴打车        3.9.7.1 - 3.9.7
电话归属地助手        3.6.5
愤怒的小鸟2        2.1.1
夫妻床头话        1.2
高德地图        7.3.8
简书        2.9.1
口袋记账        1.6.0
马拉马拉        1.1.0
穷游        6.6.6
同花顺        9.60.01
豌豆荚的开眼        1.8.0
网易公开课        4.2.8
微信        6.2.5
我叫MT        5.0.1
我叫MT 2        1.10.5
喜马拉雅        4.3.8
下厨房        4.3.2
讯飞输入法        5.1.1463
药给力        1.12.1
中国联通        3.2
中信银行动卡空间        3.3.12
自由之战        1.1.0

---

作者: 532    时间: 2015-9-18 21:41

引用:

原帖由 memorywind 于 2015-9-18 21:38 发表
360扫描了TOP1000，出问题的见下表，还有1000以外的，这次估计要团灭了。

12306        4.5
51卡保险箱        5.0.1   
Lifesmart        1.0.44
滴滴出行        4.0.0.6-4.0.0.0
滴滴打车        3.9.7.1 - 3.9.7
电话归属地助手        3.6.5
愤怒 ...

我擦，全家桶变成全国桶了

---

作者: xphi    时间: 2015-9-18 21:48

引用:

原帖由 ninggu2008 于 2015-9-18 21:22 发表
posted by wap, platform: Firefox
我好奇的是苹果的xcode这么容易就被修改了。文件程序签名都没有？微软的VS怎么没人搞？

其实10多年前流行过所谓的“中文版”VC6……，只不过PC上这种事情已经不是新闻了而已。

---

作者: limboking    时间: 2015-9-18 22:00

愤怒的小鸟2


这个有点奇葩。。。

出了问题后赶快检查了公司所有的xcode版本，都是从app store升级的

---

作者: nopaina    时间: 2015-9-18 22:22

到底咋了还准备入6s，还能用不

---

作者: leica    时间: 2015-9-18 22:24

赶紧升级吧，那群混蛋厂商。。。。。。。。。。。。。。。。

---

作者: wangmax    时间: 2015-9-18 22:42

引用:

原帖由 zhang777 于 2015-9-18 21:12 发表
posted by wap, platform: Chrome
你理解的恶意代码和这里的恶意代码是两回事。这里说的就是把被编译的程序中的信息往第三方服务器上传，就算不能获得机器里面其他app的数据，或者全局的数据，只要这段代码能把有程序 ...

回看了下帖子，确实是我想错了方向。

被篡改的xcode，等于集成了一个第三方分享的sdk，功能就是把TextField的输入值上传外网，而这也确实算是个合法的ipa。

不过这种就是属于恶意业务逻辑了，app store审核不出？

---

作者: limboking    时间: 2015-9-18 22:55

引用:

原帖由 wangmax 于 2015-9-18 22:42 发表


回看了下帖子，确实是我想错了方向。

被篡改的xcode，等于集成了一个第三方分享的sdk，功能就是把TextField的输入值上传外网，而这也确实算是个合法的ipa。

不过这种就是属于恶意业务逻辑了，app store审核 ...

app store哪知道你代码里写的什么...

---

作者: bigbigsmallstar    时间: 2015-9-18 23:13

需不需要改密码？这个工程太大了……

---

作者: wangmax    时间: 2015-9-18 23:18

引用:

原帖由 limboking 于 2015-9-18 22:55 发表

app store哪知道你代码里写的什么...

编译器是他们的，反编译什么的都是轻轻松松，但据说他们没空看代码，肯定有自动化手段。

app store审核政策非常严格，合法ipa都是屡屡被卡。

看看他们的政策：
17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。


所以想通过alertview的确认，就直接调用上传功能，应该是会被卡的，也不知道国内这些app是怎么混过去的。

---

作者: finalx    时间: 2015-9-18 23:56

posted by wap, platform: MAC OS X

引用:

原帖由 @wangmax  于 2015-9-18 23:18 发表
编译器是他们的，反编译什么的都是轻轻松松，但据说他们没空看代码，肯定有自动化手段。

app store审核政策非常严格，合法ipa都是屡屡被卡。

看看他们的政策：
17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。


所以想通过alertview的确认，就直接调用上传功能，应该是会被卡的，也不知道国内这些app是怎么混过去的。

反编译轻轻松松喷了，obj-c,swift 又不像prolog那种形式逻辑的语言，根本不具备backward能力。
另外llvm,clang是开源的。

---

作者: wangmax    时间: 2015-9-19 08:52

也不知道网易这些公司的测试组是干什么吃的。
恶意业务逻辑上传数据，网络中完全可以截获，难道他们不抓包分析的么。

---

作者: 威尼斯睡裤    时间: 2015-9-19 10:03

高德地图也有  我操了, 国内这帮软件公司都他妈的是傻逼么

---

作者: lrj2u    时间: 2015-9-19 10:42

http://www.cnbeta.com/articles/431481.htm

XcodeGhost作者凌晨现身微博并公开源码 称只是实验项目

引用:

XcodeGhost事件的爆出着实让全国的iOS应用开发者和用户吓出一身冷汗，今天凌晨4:40分，该事件的始作俑者以@XcodeGhost-Author的身份在新浪微博贴出致歉声明，称其只是一个实验性项目，并没有任何包含威胁性的行为。并公开了源码，从源码看可信度较高。

微博原文访问入口:
http://weibo.com/u/5704632164
"XcodeGhost" Source 关于所谓”XcodeGhost”的澄清
首先，我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验，没有任何威胁性行为，详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost
所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现：修改Xcode编译配置文本可以加载指定的代码文件，于是我写下上述附件中的代码去尝试，并上传到自己的网盘中。
在代码中获取的全部数据实际为基本的app信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类 型。除此之外，没有获取任何其他数据。需要郑重说明的是：出于私心，我在代码加入了广告功能，希望将来可以推广自己的应用（有心人可以比对附件源代码做校 验）。但实际上，从开始到最终关闭服务器，我并未使用过广告功能。而在10天前，我已主动关闭服务器，并删除所有数据，更不会对任何人有任何影响。
愿谣言止于真相，所谓的"XcodeGhost"，以前是一次错误的实验，以后只是彻底死亡的代码而已。
需要强调的是，XcodeGhost不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。
再次真诚的致歉，愿大家周末愉快。

---

作者: zhaolinjia    时间: 2015-9-19 10:51

posted by wap, platform: Firefox
这人判他50年监禁一点问题没有

---

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)

Powered by Discuz! 6.0.0