这是一个创建于 3755 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://snpy.in/KqFKuh
http://weibo.com/tangqiaoboy
"一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入,检测方式见附图。"
http://weibo.com/tangqiaoboy
"一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入,检测方式见附图。"
第 1 条附言 2015-09-17 11:28:50 +08:00
第 2 条附言 2015-09-17 11:34:54 +08:00
“ @ibremn 消息来源是以为唱吧的 iOS 技术: http://weibo.com/2js3 ”
 | 1 likuku 2015-09-17 10:14:27 +08:00 何必呢...no zuo no die |
| 2 likuku 2015-09-17 10:17:10 +08:00 下面贴的微博的链接又是什么鬼? |
 | 4 jejer 2015-09-17 10:31:40 +08:00 无奇不有 |
 | 5 mogita 2015-09-17 10:40:20 +08:00 靠吃毒鼠强证明人体之脆弱? |
 | 6 wdlth 2015-09-17 10:45:43 +08:00 就像 GHOST 版的系统,里面大有文章。 |
 | 7 JackBlack2006 2015-09-17 10:46:12 +08:00 这倒是带来一个较大的问题:运营商劫持下载。 运营商的那个机制又不会检查文件 MD5 SHA-1 。如果运营商自己的缓存里面是一个被恶意修改过的文件,劫持 MAS 下载以后…… |
 | 8 ca1123 2015-09-17 11:00:26 +08:00 很合理啊~ |
 | 9 xi_lin 2015-09-17 11:02:33 +08:00 不知道是啥知名 app 中招。。 |
 | 10 dorentus 2015-09-17 11:05:30 +08:00 @JackBlack2006 MAS 是 https ,不过这并不重要,重要的是 iOS app 的安装和开始运行的时候都会去检查应用包的签名,确认包完整且没有被修改过才会安装和运行。 即使是越狱了,这个机制仍然在。不过,如果用户越狱是为了装盗版应用,那么多半他会再装一个补丁把上面的签名检查机制禁用掉。那就只能听天由命了。 |
| 12 likuku 2015-09-17 11:26:01 +08:00 @dorentus so,盆油经验就是不仅要全程 https ,自己发布的 app 里也得把客户端 ssl 证书加进去,以免被中间人攻击所替换掉。 |
 | 13 cnhongwei 2015-09-17 11:26:54 +08:00 这么牛,下次直接修改掉编译器,没有办法躲了吧。 |
 | 14 ibremn 2015-09-17 11:29:25 +08:00  1 消息来源是以为唱吧的 iOS 技术: http://weibo.com/2js3 其中提到"非官方下载渠道"是百度盘之类的地方。 |
 | 16 laoyur 2015-09-17 11:40:29 +08:00 “检测方式是恶意 Xcode 包含有如下文件 /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService 正常的 Xcode 的 SDK 目录下没有 Library 目录” 我擦,我的 XCode 中招了,我就是从百度盘中下载的 以后得当心了 |
| 18 laoyur 2015-09-17 12:20:18 +08:00 |
| 19 JackBlack2006 2015-09-17 12:22:57 +08:00 那么问题来了,这是百度修改的还是别人改了传上去的? |
 | 20 mornlight 2015-09-17 12:25:51 +08:00 @JackBlack2006 百度不会干这种无聊的事,应该是别有用心的人改了传上去的。 |
 | 21 Zzzzzzzzz 2015-09-17 12:28:26 +08:00 回头看了下水果机, MAS 里更新 xcode 保持在"安装 - 不到一分钟"已经快二十分钟了....... |
 | 22 rannie 2015-09-17 12:37:55 +08:00 顶一下吧 还是从官方下安全= = |
 | 24 robertlyc 2015-09-17 13:05:03 +08:00 说这个新闻的 就是没开发过 iOS 没用过 xcode |
 | 26 ljbha007 2015-09-17 13:15:16 +08:00 从来不从非官方渠道下东西的 想说一句:“我就说吧!” |
 | 27 wezzard 2015-09-17 13:16:23 +08:00 @fo2w 因他以是打包後再注入到二制文件面,使打包後的校失,成效用。但是他也不懂言的程序是如何源程序成可行二制文件的。 sigh... |
 | 30 nozama 2015-09-17 14:06:06 +08:00 $ codesign -v /Applications/iTunes.app ================================ $ codesign -v /Applications/Xcode.app /Applications/Xcode.app: a sealed resource is missing or invalid |
 | 31 learnshare 2015-09-17 14:08:16 +08:00 无论如何都要官方下载,当然,也无法避免 HTTP 地址被劫持成 TX 管家... |
| 32 mornlight 2015-09-17 14:53:13 +08:00 @laoyur 你可以和官方的版本对比一下 SHA-1 值看看,官方的我写在这里了 https://github.com/iBcker/adcdownload |
 | 33 oska874 2015-09-17 15:22:59 +08:00 mdf5 的重要性体现了 |
 | 34 janxin 2015-09-17 15:23:17 +08:00 Xcode 官方下的那么快,没必要去网盘之类的单独下吧 |
 | 35 dndx 2015-09-17 15:24:36 +08:00 @JackBlack2006 要是这么容易就能劫持还需要越狱干啥?没越狱 iOS 会检测应用的数字签名的。 |
 | 36 missdeer 2015-09-17 15:31:56 +08:00 其实我是不太信这个消息的 |
| 37 laoyur 2015-09-17 15:35:35 +08:00 @mornlight iMac:Desktop xxx$ shasum Xcode_6.4.dmg a836d8fa0fce198e061b7b38b826178b44c053a8 Xcode_6.4.dmg 跟官方的果然不同 SHA-1:672e3dcb7727fc6db071e5a8528b70aa03900bb0 |
| 38 mornlight 2015-09-17 16:10:52 +08:00 @laoyur repo 里放的 hash 值是我自己从官方下载好后再算的,应该不会有问题。晚上有空了我把你提到的那个百度盘分享都弄下来看看 |
| 39 JackBlack2006 2015-09-17 17:05:55 +08:00 @dndx 我说的是劫持 Xcode dmg 和 OS X dmg ,还有升级时候下载的 pkg 这些 |
| 40 ibremn 2015-09-17 20:36:50 +08:00 |
 | 41 goodbest 2015-09-17 20:42:16 +08:00 |
Select Language