用网易云音乐的，你造吗？颤抖吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3728 天前的主题，其中的信息可能已经有所发展或是发生改变。

http://drops.wooyun.org/news/8864

第 1 条附言 2015-09-18 11:58:53 +08:00

「根据 palo alto networks 公司爆料，被感染的知名 App Store 应用为”网易云音乐”！该 app 应用在 AppStore 上的最新版本 2.8.3 已经确认被感染。并且该应用的 Xcode 编译版本为 6.4 （ 6E35b ），也就是 XcodeGhost 病毒所感染的那个版本。网易云音乐在 AppStore 上目前的状态：」

===

要的功能就是先收集一些 iPhone 和 app 的基本信息，包括：时间， bundle id (包名)，应用名称，系统版本，语言，国家等。如图所示：

第 2 条附言 2015-09-18 14:03:31 +08:00

原文评论

「请注意！！！注入的代码有 iOS 弹窗代码的回调 0000000000001e75 t -[UIWindow (didFinishLaunchingWithOptions ) alertView:didDismissWithButtonIndex:] 有很大可能性是盗取 icloud 密码。否则偷偷注入的密码不会随便弹窗让人发现它的存在。」

颤抖

网易

音乐

吗

84 条回复 2015-09-19 07:21:17 +08:00

orvice

2015-09-18 11:25:21 +08:00

jokie

2015-09-18 11:26:06 +08:00

啊用着呢

9hills

2015-09-18 11:29:21 +08:00

@orvice 上传服务器已经关掉了，随便用吧。反正也上传不上去

9hills

2015-09-18 11:29:55 +08:00

哦，对了。该上传都已经上传了，现在再卸载来不及了，不如不做。。。

supman

2015-09-18 11:30:59 +08:00

看来以后不能随意授权软件进入相册了。。

否则我就火了

Bio

2015-09-18 11:38:30 +08:00

AppStore 上的怎么被感染的，不是网易官方的吗？

luoway

2015-09-18 11:40:29 +08:00 via Android

吓得我攥紧了手里的安卓机

acros

2015-09-18 11:42:32 +08:00

中招了。
但是现在不知道泄漏了啥信息啊不要是账户密码就好 T_T

CodeDrift

2015-09-18 11:43:21 +08:00

看来 apple store 国内访问速度不咋样啊。。要不然为什么去第三方下载 xcode...

paicha

PRO

2015-09-18 11:43:34 +08:00

噢，还是被中招了……

shinwood

2015-09-18 11:46:21 +08:00 via iPhone

@GreyChou 网易的程序员下了不是官方的 XCode ，编译出来后就感染了，然后上架。

itsjoke

2015-09-18 11:46:28 +08:00

看到网易云音乐中招了之后怒删应用，再回头一想。已经晚了。。

要的功能就是先收集一些 iPhone 和 app 的基本信息，包括：时间， bundle id (包名)，应用名称，系统版本，语言，国家等。如图所示：

laoertongzhi

2015-09-18 11:51:59 +08:00

app store 靠谱点，谁乐意去第三方下载啊~

虽然用着 mac iphone ，但是还是觉得 app store 是坨屎！

cyberdak

2015-09-18 11:53:38 +08:0

@Anybfans 角度刁钻
哈哈哈哈哈哈哈哈哈

laoertongzhi

2015-09-18 11:56:14 +08:00

@cyberdak

真心是这样的…… ，手机连不上， mac 连不上，每次更新都难受得要死。

cyberdak

2015-09-18 11:59:47 +08:00

@laoertongzhi apple 怎么可能靠不住呢，一定是你自己网络的问题

yexm0

2015-09-18 12:00:22 +08:00 via Android

apple app store 上架不是要走审核的吗？怎么过的？

cxshun

2015-09-18 12:01:10 +08:00

@laoertongzhi 不是，是指 xcode 从非官方下载，不是应用。
感觉评论里面说得很多，侧面证明了网易是用黑苹果开发的。

imyip

2015-09-18 12:01:34 +08:00

话说编译之后收集了那些敏感信息?

hufozhu

2015-09-18 12:02:17 +08:00

mac 版网易云音乐不会也有问题吧

paicha

PRO

2015-09-18 12:03:21 +08:00

@cxshun 他说的就是 Xcode 从 AppStore 更新啊……

lyragosa

2015-09-18 12:03:48 +08:00

我 xcode 都是在官方 appstore 下载的。应该没问题吧。

chengxiao

2015-09-18 12:06:00 +08:00

收集的东西应该不会太多吧除了几个授权项（相册，好像没有访问通讯录的权限）跳不出 IOS 的沙盒

learnshare

2015-09-18 12:06:08 +08:00

还好 Mac 上装了 Linux...

n6DD1A640

2015-09-18 12:10:37 +08:00

赶紧删了网易云音乐压压惊

pi1ot

2015-09-18 12:17:43 +08:00

http://static.wooyun.org//drops/20150917/2015091709411390450.jpg

crisfun

2015-09-18 12:21:21 +08:00 via iPhone

侧面说明 MAS 速度天怒人怨

laoertongzhi

2015-09-18 12:26:45 +08:00

@cyberdak

怎么可能是我的网络有问题呢，一定是大陆的网络有问题！！！

laoertongzhi

2015-09-18 12:27:36 +08:00

@cxshun

xcode 不是 app store 里的应用么?

糊涂了……

sholmesian

2015-09-18 12:30:43 +08:00

看来践行最小权限原则是不错的习惯，云音乐我都没有给其访问相册设置头像的权限。
它收集的这些信息对于我个人来说造成的危害算比较小的了，默认这些信息都是暴露给软件开发者的。

ynyounuo

2015-09-18 12:31:18 +08:00

http://www.swiftmi.com/topic/259.html
http://yun.baidu.com/share/home?uk=1902433471#category/type=0

fxxkgw

2015-09-18 12:31:58 +08:00

唉中招了奶奶的黄易

laoyur

2015-09-18 12:33:44 +08:00

@ynyounuo 对，就是这个 coderfun ，我的有毒版本就是从他这里下载的
Xcode_6.4.dmg, sha-1 是 a836d8fa0fce198e061b7b38b826178b44c053a8

ynyounuo

2015-09-18 12:42:12 +08:00

@laoyur
嗯 - - 已经全部撤掉了

cxshun

2015-09-18 12:45:05 +08:00

@paicha 我知道那位兄弟的说法，我是指文章中出问题的 xcode 是非官方渠道的。官方渠道的 xcode 没问题。

bugsnail

2015-09-18 12:45:07 +08:00

/t/215100
下载问题可以参考这里

akring

2015-09-18 12:47:11 +08:00

重点是，都泄漏了哪些隐私信息

pi1ot

2015-09-18 12:47:54 +08:00

@akring 看我发的贴图

xi_lin

2015-09-18 12:47:56 +08:00

居然中招了。。

kisnows

2015-09-18 12:54:37 +08:00

幸好没给相册权限

gqz149275

2015-09-18 12:55:42 +08:00

要有多少人在颤抖:D

beimenjun

PRO

2015-09-18 12:57:43 +08:00

网易云音乐这个事情干得真的是。

WildCat

2015-09-18 12:59:35 +08:00 via iPhone

没人报警吗

yangweijie

2015-09-18 13:00:40 +08:00

osx 上的客户端没事吧

secondwtq

2015-09-18 13:01:29 +08:00 via iPad

美区用户不知道你们在说什么

crab

2015-09-18 13:07:38 +08:00

@yexm0 估计这种行为苹果默认许可吧?

sodatea

2015-09-18 13:07:39 +08:00

@chengxiao
@sholmesian

原文评论

「请注意！！！注入的代码有 iOS 弹窗代码的回调 0000000000001e75 t -[UIWindow (didFinishLaunchingWithOptions ) alertView:didDismissWithButtonIndex:] 有很大可能性是盗取 icloud 密码。否则偷偷注入的密码不会随便弹窗让人发现它的存在。」

万一有伪造 iCloud 密码输入框什么的，太危险了

Devin

2015-09-18 13:11:57 +08:00 via iPhone

2.8.2 版本受影响么？

wezzard

2015-09-18 13:13:58 +08:00

@hufozhu Mac version has memory leaking issue

hinate

2015-09-18 13:20:45 +08:00 via Android

看来网易下载 xcode 的速度也不怎么样啊

robinWu

2015-09-18 13:25:01 +08:00

我看数据包，也没啥东西。。不过能上传啥东西？本身网易音乐涉及隐私的东西都很少。。通讯录？电话话吗？银行卡密码？如果是安卓手机，那就有点坑了。。

sholmesian

2015-09-18 13:25:28 +08:00

@sodatea 话说前段时间还真是莫名其妙老弹 icloud 密码帐号登陆提示，刚好是出差我还以为是网络变化导致的，看来很可能是这个弹窗导致的，幸好开了两步验证，现在改密码去……

chyiz

2015-09-18 13:28:41 +08:00

看修改过的 XCode 在 MacOSX.Platform 文件夹下也被添加的文件。但目前为止没有看到 OS X 客户端连接可疑的地址。

hackerwgf

PRO

2015-09-18 13:33:15 +08:00

@sholmesian 我每次重启都弹！难道...好吧，我去卸载网易云音乐再重启试试...

chenwen

2015-09-18 13:45:55 +08:00

看来网易上网速度不给力呀

andyhenry

2015-09-18 14:13:31 +08:00

@learnshare 除我之外在 v 站发现的第二个。。我日常基本不用 osx

JohnSmith

2015-09-18 14:16:16 +08:00

http://radiosilenceapp.com/private-eye

exuxu

2015-09-18 14:20:51 +08:00

@luoway 2333

kavi

2015-09-18 14:23:30 +08:00

@laoyur 擦，我也是从那里下载的，调查他

itsjoke

2015-09-18 14:25:12 +08:00

@JohnSmith 挂马的已经把删除了域名解析，现在除非自己把这个域名本地劫持，不然监控是看不到了。

BigDecimal

2015-09-18 14:28:09 +08:00

网易新闻会不会也有问题？？

zqxiaojin

2015-09-18 14:32:25 +08:00

find /Applications/ -maxdepth 1 -iname *xcode*.app -exec ls "{}/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/" \; | grep Library

扫描 /Applications/ 目录下所有包含 xcode 字段的 app 目录下，是否有网上所说的 Library 目录
最好大家都复制上面那句代码，扫一扫。如果结果里面没有 Library ，那就没问题了