如何分析中招 app,到底发了什么数据到服务器

2015-09-19 10:43:12 +08:00
 mahone3297
xcode 问题,然后始作俑者已经上传代码到 github ,但是大家并不能亲信,也有人说上传了个阉割版。所以,是否可以这样。在 ios 内,配置一个 host 的东西,然后这个域名,指向自己的服务器。然后,自己的服务器接收包,看看,到底发了什么东西给服务器。
6607 次点击
所在节点    Xcode
32 条回复
virusdefender
2015-09-19 11:01:48 +08:00
charles fiddler 之类的抓包
loading
2015-09-19 11:02:50 +08:00
有什么能阻挡抓包!

看来下次后门还是用 ssl 。。。
LINAICAI
2015-09-19 11:05:32 +08:00
有想法。。。
我想知道怎么在 ios 上配置 host
话说 xcode7 的新增功能默认 https 简直好针对啊。。。
ybh37
2015-09-19 11:06:38 +08:00
@loading 好办法, URL 还是暴露了……
loading
2015-09-19 11:08:45 +08:00
@ybh37 你没看别人用防火墙都没感觉出来吗?域名很重要!
Quaintjade
2015-09-19 11:10:00 +08:00
如果 app 还能监听和执行远程指令呢?
比如不主动弹窗钓鱼,但服务器可以插段弹窗代码让它执行,类似这种你只是监听没用的。
另外,假如发包是加密的,你抓了包也很难分析。
zhujinliang
2015-09-19 11:10:11 +08:00
我抓到了,但是不会解密。。。

https://github.com/XcodeGhostSource/XcodeGhost/blob/master/CoreFoundations.m
527 行应该是解密函数
有人能翻译成 go 语言的么。。。
CRH
2015-09-19 11:14:06 +08:00
http://www.weibo.com/p/1001603888503866975286 这里有人解密了,发上去的确实就是那些没什么用的信息。但是关键是服务器返回什么指令
loading
2015-09-19 11:15:52 +08:00
@CRH 让你手机弹出一个高仿的密码输入框。。。
CRH
2015-09-19 11:23:01 +08:00
@loading 但是目前为止没看到证据说他确实弹过这么个框。。
而且能获取 Apple ID 的漏洞 CVE-2014-4423 只在 iOS 7.1.2 及更早的版本中存在
CRH
2015-09-19 11:26:36 +08:00
@loading 源码(暂时就当它是真的)里也没有弹出文本输入框的相关代码
loqixh
2015-09-19 11:40:50 +08:00
ida 神器
PP
2015-09-19 11:47:04 +08:00
@CRH 我曾经在今年夏天至少两次见过个别应用在正常使用(无购买行为)时弹出苹果账号登录对话框,当时的做法好象是忽略。如果没有存在理解差异问题,那么我见到过。我的系统版本是 7.1.2 ,现在打算升到 9 了。
dong3580
2015-09-19 12:19:25 +08:00
上次我在 v2 上说的经常被弹出密码输入框,有好几个童鞋和我一样的情况,不知道这个是不是与这货有关,还是系统本身的问题。

https://www.v2ex.com/t/218298#reply11
dcty
2015-09-19 12:44:23 +08:00
@zhujinliang 貌似内存泄漏
est
2015-09-19 12:57:06 +08:00
@loading 抓包很容易阻挡的。。。。
lawder
2015-09-19 13:47:43 +08:00
@PP
@CRH 看源码((暂时就当它是真的)) 482 行,[self Store:appID],再看 Store: 这个方法,调用 presentViewController 方法弹出一个 SKStoreProductViewController ,看苹果文档 https://developer.apple.com/library/prerelease/ios/documentation/StoreKit/Reference/SKITunesProductViewController_Ref/index.html#//apple_ref/occ/instm/SKStoreProductViewController/loadProductWithParameters:completionBlock: 对 SKStoreProductViewController 的解释, A SKStoreProductViewController object presents a store that allows the user to purchase other media from the App Store. For example, your app might display the store to allow the user to purchase another app. 这货调用购买接口,系统应该会弹出苹果账号登录对话框的
wuhx
2015-09-19 13:53:43 +08:00
@est @loading 在路由器上用中间人攻击分析流量,自建一个 CA 把 https 也搞定
PP
2015-09-19 13:54:29 +08:00
@lawder So, it's true. Thank you!
Strikeactor
2015-09-19 13:59:19 +08:00
Debookee
一直对这货有好感,顺手安利一下吧
优点是只要处在同一局域网,移动端不用装客户端就能抓

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/221926

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX