posted by wap, platform: iPhone
相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP。

太危言耸听了吧，打开网页我信，发短信和打电话根本做不到好吗……

posted by wap, platform: Chrome
这个文章是写来kuso的吧？专门用来蒙小白的吧？

“上报的信息包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息，能精准的区分每一台iOS设备。”
确实上传了这些信息，而且也可以用来区分iOS设备，但这些信息都无法用来具体定位到某一个用户，即便是ID，既不是你的手机号，也不是你的IMEI号，也不是设备的机器码，是iOS系统虚拟出来的一个ID号，为的就是让开发者能确定某台设备但又无法联系到用户的真实信息。

“黑客能够通过上报的信息区分每一台iOS设备，然后如同已经上线的肉鸡一般，随时、随地、给任何人下发伪协议指令，通过iOS openURL这个API来执行。“
听上去很厉害，还伪协议，openURL，但是不是就成为所谓肉鸡了？

”相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP。”
这个API确实挺强大的，能用它在设备里打开一个网页，发短信，打电话。不过呢，发短信是调用系统的接口，系统会跳转到标准的短信界面，你不按发短信按钮，就不会发任何短信；打电话是弹出一个对话框，你要打电话给xxxxxxxx吗？你不按打电话，就不会打任何电话，这样的东西算病毒吗？可以操作具备伪协议能力的大量第三方APP，是可以的，就是大家熟悉的URLschema，也就是按一个按钮，将可以跳转到另一个app，并传递一些信息，跳转过去以后就和原app没有半毛钱关系了，原app也没有控制新app的能力，所谓”操作“就是这样了，和真正的病毒的暗地操作简直相差十万八千里。只能说，这作者真会用词。

posted by wap, platform: Chrome
”和远程执行指令类似，黑客也可以远程控制弹出任何对话框窗口。至于用途，将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来，反正我们是能够通过这几个功能，用一点点社工和诱导的方式，在受感染的iPhone中安装企业证书APP。“
安装企业证书app确实可以做到，其实不感染也可以，本来这就是一个正常的行为。不过呢，要安装就必须弹出一个窗口，说我要安装了！让用户选择装不装。被感染的app里有多出这样的行为吗？我不敢说没有，但至少我没看到这样的新闻报道说有。

“在进行样本分析的同时，我们还发现这个恶意模块的网络协议加密存问题，可以被轻易暴力破解。我们尝试了中间人攻击，验证确实可以代替服务器下发伪协议指令到手机，成为这些肉鸡的新主人。”
可能是有问题吧，但中间人也不能做更多，也还是前面说的那些操作。肉鸡这个词用得好啊，只不过这些肉鸡有完全的自主能力，你要做任何操作都要弹个窗来请肉鸡同意。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:01 发表
电话可以自动拨出，也可以是远程控制拨出。短信可以是应用内push出页面，预设号码和内容，但发送必须是用户触发。
iOS的框架约束，确实是偏松了，将来估计会收紧的。

这个倒是忘了，直接拨出电话是可以，然而也是跳转到系统的电话界面，一个无法更蠢的好显眼的病毒。而且没有用户反映app被感染以后出现自动拨电话的现象。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:06 发表
不是的，电话是完全自动拨出，也可以是远程控制拨出。
短信不用openURL，不是拉起系统短信，而是应用内push，但发送确实是必须用户触发。

远程控制拨出不知道，是怎么实现？

短信只能做到app填入信息，弹出一窗口请用户发送，像安卓病毒那种后台拦截短信自动静默发短信是做不到的。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:09 发表
iOS也确实还有待完善，手机会自动拨出或是被动拨出，哪有这种业务需求。

需求还是存在的，在网页上看到一个电话，如果可以按一下链接直接拨打，当然比弹出一个窗口点了确定再拨打来得方便些。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:18 发表
你这个还是属于用户触发，是主动拨出。
自动和被动，是指用户完全不是自己的主观意志控制。

总之，调用系统界面去打电话，我不觉得这算什么病毒行为。正常的app也没理由这么做，要偷鸡摸狗也都得暗地里来，这么整，又没任何好处，不是找删吗

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:24 发表
烂到家了，只要网络里抓下包，这些恶意业务就全曝光了，不知道是怎么测试的。
但最烂的还是苹果，都这个程度了，居然也能审核通过。

app上传数据到某一个网站，苹果怎么管？苹果不可能不允许app上传数据到自己的服务器吧，上传一部分到A服务器，另一部分到B服务器，也是正常的需求。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:52 发表
“17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。”

这次的恶意代码，收集用户数据，上传服务器，如果数据涉及隐私，就必须要在功能内明示，不能自动或是诱骗方式上传数据。

顶楼文里写了，收集的数据包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息

这些信息，正常的app不需要任何用户授权就可以获取，因为不涉及用户的真实信息。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 20:45 发表
问题不在系统敏感数据的获取，因为受到框架约束，系统敏感数据都需要注册授权，这个还是安全可控的。
但是敏感数据获取后的再利用，就不受限制了。
还有就是，后台登录、Oauth之类的一些用户数据，收集这方面数据，不受框架安全机制的制约。
而上传数据，应该是应用场景中的业务类型必须和上传数据类型相符，不能是用户点张照片，就触发上传用户账号信息、app信息之类的不相干信息。

这个作者说自己没有收集上传敏感数据，但并不是指他的恶意代码没有这个能力，其实只是他愿不愿意做的问题了。
iOS框架要负责隔离风险代码和程序漏洞，而app store的审核是要负责限制开发者的恶意业务逻辑。

如果说，一个app已经获取了某个用户授权，比如通讯录，那么这次的恶意代码是有可能获取这部分数据的。这是风险之一。

但对于AppStore审核来说，他不认为你的app里把已经获得授权的数据再上传到另一个服务器有什么问题，你公司服务器多不行么。

posted by wap, platform: Chrome
回头看看，我觉得这其实是一篇洗地文，避重就轻，真正的风险根本不是他说的那些。