这是一个创建于 3340 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://snpy.in/KqFKuh
http://weibo.com/tangqiaoboy
"一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入,检测方式见附图。"
http://weibo.com/tangqiaoboy
"一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入,检测方式见附图。"
第 1 条附言 · 2015-09-17 11:28:50 +08:00
第 2 条附言 · 2015-09-17 11:34:54 +08:00
“ @ibremn 消息来源是以为唱吧的 iOS 技术: http://weibo.com/2js3 ”
 |
1
likuku 2015-09-17 10:14:27 +08:00
何必呢...no zuo no die
|
|
2
likuku 2015-09-17 10:17:10 +08:00
下面贴的微博的链接又是什么鬼?
|
 |
4
jejer 2015-09-17 10:31:40 +08:00
无奇不有
|
 |
5
ck65 2015-09-17 10:40:20 +08:00
靠吃毒鼠强证明人体之脆弱?
|
 |
6
wdlth 2015-09-17 10:45:43 +08:00
就像 GHOST 版的系统,里面大有文章。
|
 |
7
JackBlack2006 2015-09-17 10:46:12 +08:00
这倒是带来一个较大的问题:运营商劫持下载。
运营商的那个机制又不会检查文件 MD5 SHA-1 。如果运营商自己的缓存里面是一个被恶意修改过的文件,劫持 MAS 下载以后…… |
 |
8
ca1123 2015-09-17 11:00:26 +08:00
很合理啊~
|
 |
9
xi_lin 2015-09-17 11:02:33 +08:00
不知道是啥知名 app 中招。。
|
 |
10
dorentus 2015-09-17 11:05:30 +08:00
@JackBlack2006 MAS 是 https ,不过这并不重要,重要的是 iOS app 的安装和开始运行的时候都会去检查应用包的签名,确认包完整且没有被修改过才会安装和运行。
即使是越狱了,这个机制仍然在。不过,如果用户越狱是为了装盗版应用,那么多半他会再装一个补丁把上面的签名检查机制禁用掉。那就只能听天由命了。 |
|
12
likuku 2015-09-17 11:26:01 +08:00
@dorentus so,盆油经验就是不仅要全程 https ,自己发布的 app 里也得把客户端 ssl 证书加进去,以免被中间人攻击所替换掉。
|
 |
13
cnhongwei 2015-09-17 11:26:54 +08:00
这么牛,下次直接修改掉编译器,没有办法躲了吧。
|
 |
14
ibremn 2015-09-17 11:29:25 +08:00  1
消息来源是以为唱吧的 iOS 技术: http://weibo.com/2js3
其中提到"非官方下载渠道"是百度盘之类的地方。 |
 |
16
laoyur 2015-09-17 11:40:29 +08:00
“检测方式是恶意 Xcode 包含有如下文件 /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService 正常的 Xcode 的 SDK 目录下没有 Library 目录”
——我擦,我的 XCode 中招了,我就是从百度盘中下载的 以后得当心了 |
|
18
laoyur 2015-09-17 12:20:18 +08:00
|
|
19
JackBlack2006 2015-09-17 12:22:57 +08:00
那么问题来了,这是百度修改的还是别人改了传上去的?
|
 |
20
mornlight 2015-09-17 12:25:51 +08:00
@JackBlack2006 百度不会干这种无聊的事,应该是别有用心的人改了传上去的。
|
 |
21
Zzzzzzzzz 2015-09-17 12:28:26 +08:00
回头看了下水果机, MAS 里更新 xcode 保持在"安装 - 不到一分钟"已经快二十分钟了.......
|
 |
22
rannie 2015-09-17 12:37:55 +08:00
顶一下吧 还是从官方下安全= =
|
 |
24
robertlyc 2015-09-17 13:05:03 +08:00
说这个新闻的 就是没开发过 iOS 没用过 xcode
|
 |
26
ljbha007 2015-09-17 13:15:16 +08:00
从来不从非官方渠道下东西的 想说一句:“我就说吧!”
|
 |
27
wezzard 2015-09-17 13:16:23 +08:00
@fo2w 因爲他以爲是打包後再注入到二進制文件裏面,這樣會使打包後的校驗失敗,成爲無效應用。但是他也應該不懂編譯語言寫的程序是如何從源程序變成可執行二進制文件的。 sigh...
|
 |
30
nozama 2015-09-17 14:06:06 +08:00
$ codesign -v /Applications/iTunes.app
================================ $ codesign -v /Applications/Xcode.app /Applications/Xcode.app: a sealed resource is missing or invalid |
 |
31
learnshare 2015-09-17 14:08:16 +08:00
无论如何都要官方下载,当然,也无法避免 HTTP 地址被劫持成 TX 管家...
|
|
32
mornlight 2015-09-17 14:53:13 +08:00
@laoyur 你可以和官方的版本对比一下 SHA-1 值看看,官方的我写在这里了 https://github.com/iBcker/adcdownload
|
 |
33
oska874 2015-09-17 15:22:59 +08:00
mdf5 的重要性体现了
|
 |
34
janxin 2015-09-17 15:23:17 +08:00
Xcode 官方下的那么快,没必要去网盘之类的单独下吧
|
 |
35
dndx 2015-09-17 15:24:36 +08:00
@JackBlack2006 要是这么容易就能劫持还需要越狱干啥?没越狱 iOS 会检测应用的数字签名的。
|
 |
36
missdeer 2015-09-17 15:31:56 +08:00
其实我是不太信这个消息的
|
|
37
laoyur 2015-09-17 15:35:35 +08:00
@mornlight
iMac:Desktop xxx$ shasum Xcode_6.4.dmg a836d8fa0fce198e061b7b38b826178b44c053a8 Xcode_6.4.dmg 跟官方的果然不同 SHA-1:672e3dcb7727fc6db071e5a8528b70aa03900bb0 |
|
38
mornlight 2015-09-17 16:10:52 +08:00
@laoyur repo 里放的 hash 值是我自己从官方下载好后再算的,应该不会有问题。晚上有空了我把你提到的那个百度盘分享都弄下来看看
|
|
39
JackBlack2006 2015-09-17 17:05:55 +08:00
@dndx 我说的是劫持 Xcode dmg 和 OS X dmg ,还有升级时候下载的 pkg 这些
|
|
40
ibremn 2015-09-17 20:36:50 +08:00
|
 |
41
goodbest 2015-09-17 20:42:16 +08:00
|
Select Language