非官方 Xcode 编译出来的 app 被注入恶意的代码（网易云音乐、12306 和滴滴打车）

zhang777

魔头

帖子: 1964
精华: 0
积分: 12166
激骚: 164 度
爱车
主机
相机
手机
注册时间: 2005-3-30

发短消息
加为好友
当前离线

1^# 大中小发表于 2015-9-18 21:12 显示全部帖子

posted by wap, platform: Chrome

引用:

原帖由 @wangmax 于 2015-9-18 20:59 发表
前面也说了，这些都是业务层面的引导或是诱导，但并没有突破框架约束，也没有绕过安全机制。
现在关注的是非越狱环境，有无突破的可能，暂时没看到成功案例。

你理解的恶意代码和这里的恶意代码是两回事。这里说的就是把被编译的程序中的信息往第三方服务器上传，就算不能获得机器里面其他app的数据，或者全局的数据，只要这段代码能把有程序中有类似用户密码输入的信息上传到第三方服务器，就已经是非常恶意了，对不对？比如云音乐里面使用网易帐号登录，这里应该没有调用第三方app或者webview，用户名和密码都是透明的，如果把这些东西抓了传到第三方服务器，所有人的网易帐号就保不住了。

你理解的恶意代码是另外一回事。

TOP