V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mahone3297
V2EX  ›  Xcode

如何分析中招 app,到底发了什么数据到服务器

  •  
  •   mahone3297 · 2015-09-19 10:43:12 +08:00 · 6629 次点击
    这是一个创建于 3358 天前的主题,其中的信息可能已经有所发展或是发生改变。
    xcode 问题,然后始作俑者已经上传代码到 github ,但是大家并不能亲信,也有人说上传了个阉割版。所以,是否可以这样。在 ios 内,配置一个 host 的东西,然后这个域名,指向自己的服务器。然后,自己的服务器接收包,看看,到底发了什么东西给服务器。
    第 1 条附言  ·  2015-09-19 12:19:47 +08:00
    确实,没考虑周全
    大家说的,这种情况,处理不到
    》比如不主动弹窗钓鱼,但服务器可以插段弹窗代码让它执行,类似这种你只是监听没用的。
    另外,加密,比如 ssl ,那也处理不到
    32 条回复    2015-09-19 21:55:44 +08:00
    virusdefender
        1
    virusdefender  
       2015-09-19 11:01:48 +08:00
    charles fiddler 之类的抓包
    loading
        2
    loading  
       2015-09-19 11:02:50 +08:00   ❤️ 1
    有什么能阻挡抓包!

    看来下次后门还是用 ssl 。。。
    LINAICAI
        3
    LINAICAI  
       2015-09-19 11:05:32 +08:00
    有想法。。。
    我想知道怎么在 ios 上配置 host
    话说 xcode7 的新增功能默认 https 简直好针对啊。。。
    ybh37
        4
    ybh37  
       2015-09-19 11:06:38 +08:00
    @loading 好办法, URL 还是暴露了……
    loading
        5
    loading  
       2015-09-19 11:08:45 +08:00
    @ybh37 你没看别人用防火墙都没感觉出来吗?域名很重要!
    Quaintjade
        6
    Quaintjade  
       2015-09-19 11:10:00 +08:00 via Android   ❤️ 1
    如果 app 还能监听和执行远程指令呢?
    比如不主动弹窗钓鱼,但服务器可以插段弹窗代码让它执行,类似这种你只是监听没用的。
    另外,假如发包是加密的,你抓了包也很难分析。
    zhujinliang
        7
    zhujinliang  
       2015-09-19 11:10:11 +08:00
    我抓到了,但是不会解密。。。

    https://github.com/XcodeGhostSource/XcodeGhost/blob/master/CoreFoundations.m
    527 行应该是解密函数
    有人能翻译成 go 语言的么。。。
    CRH
        8
    CRH  
       2015-09-19 11:14:06 +08:00
    http://www.weibo.com/p/1001603888503866975286 这里有人解密了,发上去的确实就是那些没什么用的信息。但是关键是服务器返回什么指令
    loading
        9
    loading  
       2015-09-19 11:15:52 +08:00
    @CRH 让你手机弹出一个高仿的密码输入框。。。
    CRH
        10
    CRH  
       2015-09-19 11:23:01 +08:00
    @loading 但是目前为止没看到证据说他确实弹过这么个框。。
    而且能获取 Apple ID 的漏洞 CVE-2014-4423 只在 iOS 7.1.2 及更早的版本中存在
    CRH
        11
    CRH  
       2015-09-19 11:26:36 +08:00
    @loading 源码(暂时就当它是真的)里也没有弹出文本输入框的相关代码
    loqixh
        12
    loqixh  
       2015-09-19 11:40:50 +08:00
    ida 神器
    PP
        13
    PP  
       2015-09-19 11:47:04 +08:00 via iPad
    @CRH 我曾经在今年夏天至少两次见过个别应用在正常使用(无购买行为)时弹出苹果账号登录对话框,当时的做法好象是忽略。如果没有存在理解差异问题,那么我见到过。我的系统版本是 7.1.2 ,现在打算升到 9 了。
    dong3580
        14
    dong3580  
       2015-09-19 12:19:25 +08:00 via Android
    上次我在 v2 上说的经常被弹出密码输入框,有好几个童鞋和我一样的情况,不知道这个是不是与这货有关,还是系统本身的问题。

    https://www.v2ex.com/t/218298#reply11
    dcty
        15
    dcty  
       2015-09-19 12:44:23 +08:00
    @zhujinliang 貌似内存泄漏
    est
        16
    est  
       2015-09-19 12:57:06 +08:00
    @loading 抓包很容易阻挡的。。。。
    lawder
        17
    lawder  
       2015-09-19 13:47:43 +08:00
    @PP
    @CRH 看源码((暂时就当它是真的)) 482 行,[self Store:appID],再看 Store: 这个方法,调用 presentViewController 方法弹出一个 SKStoreProductViewController ,看苹果文档 https://developer.apple.com/library/prerelease/ios/documentation/StoreKit/Reference/SKITunesProductViewController_Ref/index.html#//apple_ref/occ/instm/SKStoreProductViewController/loadProductWithParameters:completionBlock: 对 SKStoreProductViewController 的解释, A SKStoreProductViewController object presents a store that allows the user to purchase other media from the App Store. For example, your app might display the store to allow the user to purchase another app. 这货调用购买接口,系统应该会弹出苹果账号登录对话框的
    wuhx
        18
    wuhx  
       2015-09-19 13:53:43 +08:00
    @est @loading 在路由器上用中间人攻击分析流量,自建一个 CA 把 https 也搞定
    PP
        19
    PP  
       2015-09-19 13:54:29 +08:00 via iPad
    @lawder So, it's true. Thank you!
    Strikeactor
        20
    Strikeactor  
       2015-09-19 13:59:19 +08:00
    Debookee
    一直对这货有好感,顺手安利一下吧
    优点是只要处在同一局域网,移动端不用装客户端就能抓
    CRH
        21
    CRH  
       2015-09-19 13:59:54 +08:00
    @lawder 可是弹的这个登录框里输入的密码这个 APP 又没法拿到。。
    loading
        22
    loading  
       2015-09-19 14:06:24 +08:00 via Android
    @wuhx 对,差点忘了中间人…
    lawder
        23
    lawder  
       2015-09-19 14:06:46 +08:00
    @CRH 是的,所以我觉得它的目的不是为了偷密码,而是为了推广 /出售 App 而获利。
    msn1983aa
        24
    msn1983aa  
       2015-09-19 14:58:44 +08:00
    还有一种可能是为了数量庞大的被盗 iPhone\ipad 提供解锁密码库
    lawder
        25
    lawder  
       2015-09-19 16:35:34 +08:00
    @PP
    @CRH 写 Demo 验证了下作者调用 SKStoreProductViewController 的方式,这种方式会先在当前 App 前弹一个对应 appID 的 store 窗口出来(其实就是在当前 App 内弹 App Store ),在里面点了“获取”后才会弹出 iTunes Store 账号登录对话框,之前的说法不太准确, Sorry.
    gswxy
        26
    gswxy  
       2015-09-19 16:56:05 +08:00
    @Strikeactor 软件好贵的说
    est
        27
    est  
       2015-09-19 18:33:33 +08:00
    @wuhx 客户端可以 pin 死证书的。中间人不一定有效。客户端静态连接 SSL ,很难分析出来。
    zwzmzd
        28
    zwzmzd  
       2015-09-19 18:41:19 +08:00 via Android
    @loading 抓包软件生成一个证书并安装到设备中,一般也可以解决 ssl 抓包问题。
    不过还有些更高级的技术可以指定证书链,上面的方法就不一定有用了
    heww
        29
    heww  
       2015-09-19 19:13:21 +08:00 via iPhone
    @dong3580 我也遇到过好多次让输入密码的,每次还密码错误,然后那段时间我频繁的修改密码。当然了,看了这几天的帖子,我今天又改了次密码。
    dong3580
        30
    dong3580  
       2015-09-19 19:36:26 +08:00
    @heww
    已改,自从上次某邮箱大户泄露信息之后,所有的密码和密保全部随机。
    Strikeactor
        31
    Strikeactor  
       2015-09-19 19:49:40 +08:00
    @gswxy 我当时也是这么说的,然后那头麻利的给了我个折扣 order ,折到了 100 软妹币左右
    所以才一直有好感。。
    beimenjun
        32
    beimenjun  
       2015-09-19 21:55:44 +08:00
    问题最关键的是这些就是全部源码了吗。

    其实如果这就是全部源码倒是可以放心很多。否则就很难说这半年究竟干嘛了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3709 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:37 · PVG 18:37 · LAX 02:37 · JFK 05:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.