posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:09 发表
iOS也确实还有待完善，手机会自动拨出或是被动拨出，哪有这种业务需求。

需求还是存在的，在网页上看到一个电话，如果可以按一下链接直接拨打，当然比弹出一个窗口点了确定再拨打来得方便些。

posted by wap, platform: iPhone
这次可以看出国内的这些互联网公司的内部管理有多烂

引用:

原帖由 小文 于 2015-9-19 19:11 发表
posted by wap, platform: Chrome
远程控制拨出不知道，是怎么实现？

短信只能做到app填入信息，弹出一窗口请用户发送，像安卓病毒那种后台拦截短信自动静默发短信是做不到的。

只要是在应用内添加轮询或是socket，就可以远程控制了。
短信的诱骗性不强，因为界面也无法定制。

引用:

原帖由 小文 于 2015-9-19 19:14 发表
posted by wap, platform: Chrome
需求还是存在的，在网页上看到一个电话，如果可以按一下链接直接拨打，当然比弹出一个窗口点了确定再拨打来得方便些。

你这个还是属于用户触发，是主动拨出。
自动和被动，是指用户完全不是自己的主观意志控制。

这文章肯定不是搞ios写的，openURL也就是一个跳转api，跳过去后结束了，非越狱下app能坐的事很少。至于上传的信息也不是很敏感。这件事反应了一个问题，搞ios绝大多数都缺乏安全方面的相关知识。

引用:

原帖由 sowo 于 2015-9-19 19:15 发表
posted by wap, platform: iPhone
这次可以看出国内的这些互联网公司的内部管理有多烂

烂到家了，只要网络里抓下包，这些恶意业务就全曝光了，不知道是怎么测试的。
但最烂的还是苹果，都这个程度了，居然也能审核通过。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:18 发表
你这个还是属于用户触发，是主动拨出。
自动和被动，是指用户完全不是自己的主观意志控制。

总之，调用系统界面去打电话，我不觉得这算什么病毒行为。正常的app也没理由这么做，要偷鸡摸狗也都得暗地里来，这么整，又没任何好处，不是找删吗

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:24 发表
烂到家了，只要网络里抓下包，这些恶意业务就全曝光了，不知道是怎么测试的。
但最烂的还是苹果，都这个程度了，居然也能审核通过。

app上传数据到某一个网站，苹果怎么管？苹果不可能不允许app上传数据到自己的服务器吧，上传一部分到A服务器，另一部分到B服务器，也是正常的需求。

posted by wap, platform: GOOGLE Nexus 4
很有可能这毒就是腾讯这人渣下的

引用:

原帖由 sowo 于 2015-9-19 19:15 发表
posted by wap, platform: iPhone
这次可以看出国内的这些互联网公司的内部管理有多烂

苹果也管理够烂的，审核搞的这么严结果号称多安全多干净，结果这么大面积的恶意代码就这样审核通过了

引用:

原帖由 小文 于 2015-9-19 19:29 发表
posted by wap, platform: Chrome
app上传数据到某一个网站，苹果怎么管？苹果不可能不允许app上传数据到自己的服务器吧，上传一部分到A服务器，另一部分到B服务器，也是正常的需求。

“17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。”

这次的恶意代码，收集用户数据，上传服务器，如果数据涉及隐私，就必须要在功能内明示，不能自动或是诱骗方式上传数据。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 19:52 发表
“17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。”

这次的恶意代码，收集用户数据，上传服务器，如果数据涉及隐私，就必须要在功能内明示，不能自动或是诱骗方式上传数据。

顶楼文里写了，收集的数据包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息

这些信息，正常的app不需要任何用户授权就可以获取，因为不涉及用户的真实信息。

posted by wap, platform: 小米 NOTE

引用:

原帖由 @kintama  于 2015-9-19 19:42 发表
苹果也管理够烂的，审核搞的这么严结果号称多安全多干净，结果这么大面积的恶意代码就这样审核通过了

如何定义这些代码是恶意的？

对苹果来说，这些代码依然是在苹果规范之内，上传的数据不可能突破苹果的沙盒限制，要真的突破沙盒限制，那简直就相当于把这台机器给越狱了，事实上这次的代码根本没这个能力

但这些代码的确是被植入的，对于那些被植入的app而言，的确就是恶意代码，因为这些代码把用户数据传给了代码编写者，这是不折不扣的偷窃行为。

所以对苹果来说，它没法辨别这些上传的数据给a服务器还是给b服务器，哪些是正常的（因为苹果是允许app发布者搜集相关信息的），哪些是不正常，对它来说都是符合规范的行为，哪怕是调用了url scheme打电话发短信，都是app被允许的行为，所以审核通过也是正常的

引用:

原帖由 小文 于 2015-9-19 19:56 发表
posted by wap, platform: Chrome
顶楼文里写了，收集的数据包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息

这些信息，正常的app不需要任何用户授权就可以获取，因为不涉及用户的真实信 ...

问题不在系统敏感数据的获取，因为受到框架约束，系统敏感数据都需要注册授权，这个还是安全可控的。
但是敏感数据获取后的再利用，就不受限制了。
还有就是，后台登录、Oauth之类的一些用户数据，收集这方面数据，不受框架安全机制的制约。
而上传数据，应该是应用场景中的业务类型必须和上传数据类型相符，不能是用户点张照片，就触发上传用户账号信息、app信息之类的不相干信息。

这个作者说自己没有收集上传敏感数据，但并不是指他的恶意代码没有这个能力，其实只是他愿不愿意做的问题了。
iOS框架要负责隔离风险代码和程序漏洞，而app store的审核是要负责限制开发者的恶意业务逻辑。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-19 20:45 发表
问题不在系统敏感数据的获取，因为受到框架约束，系统敏感数据都需要注册授权，这个还是安全可控的。
但是敏感数据获取后的再利用，就不受限制了。
还有就是，后台登录、Oauth之类的一些用户数据，收集这方面数据，不受框架安全机制的制约。
而上传数据，应该是应用场景中的业务类型必须和上传数据类型相符，不能是用户点张照片，就触发上传用户账号信息、app信息之类的不相干信息。

这个作者说自己没有收集上传敏感数据，但并不是指他的恶意代码没有这个能力，其实只是他愿不愿意做的问题了。
iOS框架要负责隔离风险代码和程序漏洞，而app store的审核是要负责限制开发者的恶意业务逻辑。

如果说，一个app已经获取了某个用户授权，比如通讯录，那么这次的恶意代码是有可能获取这部分数据的。这是风险之一。

但对于AppStore审核来说，他不认为你的app里把已经获得授权的数据再上传到另一个服务器有什么问题，你公司服务器多不行么。