揭露 土豆丝(Pototso)、Surge、等基于 iOS9 Network Extension 开发的网络工具的 安全隐患。

2016-09-08 14:45:52 +08:00
 WF

iOS9 Network Extension 最大的特点在于: 可以接管 iPhone 上所有流量。

所以,只要你使用 Potato 或 Surge 等软件,就可以截获:支付宝、微信、银行卡、密码、地理位置、联系人、等等所有你手机上的信息,甚至可以替换 app 里面的信息,举几个例子:

1 、可能替换掉你支付宝里面的联系人的帐号信息,当你使用支付宝给朋友转帐的时候,其实已经转到了别人的帐户。

2 、新闻 app 或者其他 app ,你会发现被嵌入了广告信息。

3 、截获你的地理位置,你的工作的地方,住的地方等。

4 、把你联系人人统统截获,当你使用 app 同步联系人等时候,会把截获你的所有联系人信息。

5 、当你登录 app 或者其他 web 页面的时候,会截获你的帐号和密码信息。

6 、你和别人的聊天记录,甚至私密的照片等被截获。

只要你用了此类软件,你的手机流量就会完全被接管,个人信息就会完完全全暴露。这些软件很可能已经把截获到的所有信息偷偷上传到了自己的服务器。你用了此类软件,就相当于给自己手机里面装了一款监视器,完全没了隐私。

虽然所谓的 Pototso 开源了。但是开源归开源,打包的时候我们并不知道是否给自己留了后门,每时每刻在同步你的个人信息。

我曾用了一段时间 Pototso ,发现自从我用了此软件以后,电池不够用,手机发烫,最重要的是,以前一个月用 2GB 的手机流量就够了。现在 5GB 的流量都不够用。不仅仅把手机套餐流量用完了。还要花钱买流量。后来我才意识到此软件的危险性。

所以强烈建议大家,卸载此类软件,并去苹果官方申请退款,支持 90 天内问题报告(退款地址: https://reportaproblem.apple.com),如果你说,我不在乎自己的隐私信息,那就没什么可说的了。

用此类 app 的用户们想象是否最近被诈骗电话骚扰过,或者经常收到垃圾短息。你的信息已经赤裸裸的被这类软件接管。

如果就是想上外网,建议使用苹果自带的 VPN ( IKEv2 , IPsec )至少能比这些 app 安全。

1050 次点击
所在节点    Surge
12 条回复
xiao201261
2016-09-18 13:50:48 +08:00
ISP 或成最大赢家
akw2312
2016-09-18 13:54:33 +08:00
所以說證據呢 從頭到尾都是 有可能 有可能
一點證據都沒給出來就說人家有問題
這跟台灣的新聞製造業有甚麼兩樣啊 2333
然後你的流量用的比以前多你不會自己看看用到哪去了?
一點證據都沒有
而且如果以上幾點是真的 你這是在打 Apple 的臉嗎
真的這麼做早就被 apple 給下架了吧

所以說 證據呢?
zjwpeter
2016-09-18 14:27:30 +08:00
https 哭晕在街上
bugmenein
2016-09-18 14:50:02 +08:00
虽然政府公布了所谓的水质报告,但是公布归公布,通过泵的时候我们并不知道里面是不是已经被注了毒药,每时每刻都在你的体内留下毒质

所以我强烈建议楼主,拒绝国有企业供水,并去物业投诉拆除水管,赶快去实验室合成 H 和 O 。如果你说,我不在乎自己的身体健康,那就没什么可说的了。
refraction
2016-09-18 15:55:19 +08:00
槽点太多。。。。还是建议 lz 先了解一下什么是 https
zhouzefu
2016-09-19 09:26:34 +08:00
pu....
WF
2016-09-19 14:25:03 +08:00
@refraction 你没截获过 https ,我不怪你。
akw2312
2016-09-19 17:41:27 +08:00
哇這個特意註冊來黑的帳號居然還會出現
所以說證據呢 奇怪怎麼避而不談
akw2312
2016-09-19 17:46:23 +08:00
還有連別人軟件的名字都沒有輸入正確就想黑...真是有趣
所以說
某某軟件會利用 iOS 系統 該 api 功能盜取個人資料並後台上傳至他人之伺服器 的證據呢?

話說有啥會偷偷後台上傳個資的東西一個月給你傳 3GB 這麼多?
refraction
2016-09-19 18:00:01 +08:00
@WF WTF?
refraction
2016-09-19 18:10:48 +08:00
感觉 LZ 是来钓铜币的 全是臆想 证据也没有 也不正面回应下面的问题 不值一驳 大家散了吧 🌚
xiao201261
2016-09-19 18:29:38 +08:00
🌚 反正照楼主说 -> ISP 什么都能搞到->哼 土豆丝就是会****->哼 土豆丝还扔 CA root 到鸡里面(描述文件什么的做得到么。。)->哼 ssl 内容就是土豆丝就是搞得到(你个 loser|此梗来自 360)->哼 Apple 自己的协议土豆丝也能截获并且解密(罐子快去拿 Apple 的奖)->哼 我可是会手解 RSA 的()->反正土豆丝不安全->大家快去锅外吧->什么都不安全!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/304843

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX