打印

xcode事件可能不只是传传内购，软件信息这么简单,腾讯出了片分析文。

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

1^# 大中小发表于 2015-9-19 19:01 显示全部帖子

引用:

原帖由小文于 2015-9-19 18:06 发表
posted by wap, platform: iPhone
相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大 ...

电话可以自动拨出，也可以是远程控制拨出。短信可以是应用内push出页面，预设号码和内容，但发送必须是用户触发。
iOS的框架约束，确实是偏松了，将来估计会收紧的。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

2^# 大中小发表于 2015-9-19 19:06 显示全部帖子

引用:

原帖由小文于 2015-9-19 18:53 发表
posted by wap, platform: Chrome
这个文章是写来kuso的吧？专门用来蒙小白的吧？

“上报的信息包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息，能精准的区分每一台iOS设备。”
确实上 ...

不是的，电话是完全自动拨出，也可以是远程控制拨出。
短信不用openURL，不是拉起系统短信，而是应用内push，但发送确实是必须用户触发。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

3^# 大中小发表于 2015-9-19 19:09 显示全部帖子

引用:

原帖由小文于 2015-9-19 19:04 发表
posted by wap, platform: Chrome

这个倒是忘了，直接拨出电话是可以，然而也是跳转到系统的电话界面，一个无法更蠢的好显眼的病毒。而且没有用户反映app被感染以后出现自动拨电话的现象。

iOS也确实还有待完善，手机会自动拨出或是被动拨出，哪有这种业务需求。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

4^# 大中小发表于 2015-9-19 19:16 显示全部帖子

引用:

原帖由小文于 2015-9-19 19:11 发表
posted by wap, platform: Chrome
远程控制拨出不知道，是怎么实现？

短信只能做到app填入信息，弹出一窗口请用户发送，像安卓病毒那种后台拦截短信自动静默发短信是做不到的。

只要是在应用内添加轮询或是socket，就可以远程控制了。
短信的诱骗性不强，因为界面也无法定制。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

5^# 大中小发表于 2015-9-19 19:18 显示全部帖子

引用:

原帖由小文于 2015-9-19 19:14 发表
posted by wap, platform: Chrome
需求还是存在的，在网页上看到一个电话，如果可以按一下链接直接拨打，当然比弹出一个窗口点了确定再拨打来得方便些。

你这个还是属于用户触发，是主动拨出。
自动和被动，是指用户完全不是自己的主观意志控制。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

6^# 大中小发表于 2015-9-19 19:24 显示全部帖子

引用:

原帖由 sowo 于 2015-9-19 19:15 发表
posted by wap, platform: iPhone
这次可以看出国内的这些互联网公司的内部管理有多烂

烂到家了，只要网络里抓下包，这些恶意业务就全曝光了，不知道是怎么测试的。
但最烂的还是苹果，都这个程度了，居然也能审核通过。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

7^# 大中小发表于 2015-9-19 19:52 显示全部帖子

引用:

原帖由小文于 2015-9-19 19:29 发表
posted by wap, platform: Chrome
app上传数据到某一个网站，苹果怎么管？苹果不可能不允许app上传数据到自己的服务器吧，上传一部分到A服务器，另一部分到B服务器，也是正常的需求。

“17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。”

这次的恶意代码，收集用户数据，上传服务器，如果数据涉及隐私，就必须要在功能内明示，不能自动或是诱骗方式上传数据。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

8^# 大中小发表于 2015-9-19 20:45 显示全部帖子

引用:

原帖由小文于 2015-9-19 19:56 发表
posted by wap, platform: Chrome
顶楼文里写了，收集的数据包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息

这些信息，正常的app不需要任何用户授权就可以获取，因为不涉及用户的真实信 ...

问题不在系统敏感数据的获取，因为受到框架约束，系统敏感数据都需要注册授权，这个还是安全可控的。
但是敏感数据获取后的再利用，就不受限制了。
还有就是，后台登录、Oauth之类的一些用户数据，收集这方面数据，不受框架安全机制的制约。
而上传数据，应该是应用场景中的业务类型必须和上传数据类型相符，不能是用户点张照片，就触发上传用户账号信息、app信息之类的不相干信息。

这个作者说自己没有收集上传敏感数据，但并不是指他的恶意代码没有这个能力，其实只是他愿不愿意做的问题了。
iOS框架要负责隔离风险代码和程序漏洞，而app store的审核是要负责限制开发者的恶意业务逻辑。

TOP

wangmax

小黑屋

帖子: 1384
精华: 0
积分: 10914
激骚: 49 度
爱车
主机
相机
手机
注册时间: 2006-6-23

发短消息
加为好友
当前离线

9^# 大中小发表于 2015-9-19 21:05 显示全部帖子

引用:

原帖由小文于 2015-9-19 20:55 发表
posted by wap, platform: Chrome
如果说，一个app已经获取了某个用户授权，比如通讯录，那么这次的恶意代码是有可能获取这部分数据的。这是风险之一。

但对于AppStore审核来说，他不认为你的app里把已经获得授权 ...

审核政策里写了，传输、分享隐私数据，必须要包含隐私条款，我的理解就是要有声明提示，必须用户确认触发，才能上传。
而现在这个恶意业务，是自动或是诱骗方式，让用户触发，明显就是业务场景和上传数据类型没有一点关系。

TOP