如何分析中招 app,到底发了什么数据到服务器

2015-09-19 10:43:12 +08:00
 mahone3297
xcode 问题,然后始作俑者已经上传代码到 github ,但是大家并不能亲信,也有人说上传了个阉割版。所以,是否可以这样。在 ios 内,配置一个 host 的东西,然后这个域名,指向自己的服务器。然后,自己的服务器接收包,看看,到底发了什么东西给服务器。
6621 次点击
所在节点    Xcode
32 条回复
CRH
2015-09-19 13:59:54 +08:00
@lawder 可是弹的这个登录框里输入的密码这个 APP 又没法拿到。。
loading
2015-09-19 14:06:24 +08:00
@wuhx 对,差点忘了中间人…
lawder
2015-09-19 14:06:46 +08:00
@CRH 是的,所以我觉得它的目的不是为了偷密码,而是为了推广 /出售 App 而获利。
msn1983aa
2015-09-19 14:58:44 +08:00
还有一种可能是为了数量庞大的被盗 iPhone\ipad 提供解锁密码库
lawder
2015-09-19 16:35:34 +08:00
@PP
@CRH 写 Demo 验证了下作者调用 SKStoreProductViewController 的方式,这种方式会先在当前 App 前弹一个对应 appID 的 store 窗口出来(其实就是在当前 App 内弹 App Store ),在里面点了“获取”后才会弹出 iTunes Store 账号登录对话框,之前的说法不太准确, Sorry.
gswxy
2015-09-19 16:56:05 +08:00
@Strikeactor 软件好贵的说
est
2015-09-19 18:33:33 +08:00
@wuhx 客户端可以 pin 死证书的。中间人不一定有效。客户端静态连接 SSL ,很难分析出来。
zwzmzd
2015-09-19 18:41:19 +08:00
@loading 抓包软件生成一个证书并安装到设备中,一般也可以解决 ssl 抓包问题。
不过还有些更高级的技术可以指定证书链,上面的方法就不一定有用了
heww
2015-09-19 19:13:21 +08:00
@dong3580 我也遇到过好多次让输入密码的,每次还密码错误,然后那段时间我频繁的修改密码。当然了,看了这几天的帖子,我今天又改了次密码。
dong3580
2015-09-19 19:36:26 +08:00
@heww
已改,自从上次某邮箱大户泄露信息之后,所有的密码和密保全部随机。
Strikeactor
2015-09-19 19:49:40 +08:00
@gswxy 我当时也是这么说的,然后那头麻利的给了我个折扣 order ,折到了 100 软妹币左右
所以才一直有好感。。
beimenjun
2015-09-19 21:55:44 +08:00
问题最关键的是这些就是全部源码了吗。

其实如果这就是全部源码倒是可以放心很多。否则就很难说这半年究竟干嘛了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/221926

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX