V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zckevin
V2EX  ›  Apple

关于 Apple M1 的群众意见每日汇总 [码农方向][2020.11.20]

  •  8
     
  •   zckevin · 2020-11-20 08:25:57 +08:00 · 5791 次点击
    这是一个创建于 1497 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Apple M1 & 白帽 & 黑灰产 by @蒸米 spark

    苹果不光不讲武德,还对安卓痛下杀手,测试了一下,就算是没有在 mac 的 appstore 上上架的应用也可以用砸壳后的 ipa 在 mac 上原生运行,也可以轻松对其 hook 。听我同事说,最夸张是企业签名后的 ipa 包,直接双击运行跟执行 exe 一样方便。黑灰产的春天来了,还搞毛线的群控,几台 Mac 直接全部搞定。[二哈] ​​​​

    https://weibo.com/2250770035/JuE6t2w8A

    iPhone 上拖下来的 ipa,一点修改都不用做就可以在 macOS 上跑了,想运行啥版本就运行啥版本,想 hook 就 hook,想多开就多开,用脚本执行任意函数也可以,甚至写个脚本用鼠标自动点击也可以。哎,我以后再也不会相信直播在线人数,销量,播放量啥的指标了。。。[允悲][允悲][允悲]

    更扯淡的是在 iOS 上不越狱很难搞到 app 沙盒里的文件,对用户的数据来说是一种保护,结果在 macOS 上运行的 iOS app,数据全都放在 user 目录里,普通权限随便读写,聊天记录,明文密码啥的,一秒钟就给拖走,篡改文件导致代码执行啥的也有可能。。。

    iOS app 运行时加载的库都是用的系统原生的(主要是在 iOSSupport 目录下),无论是 fuzz 还是研究新的攻击面估计都会有重大收获,以后 iOS 的漏洞和 rce 少不了[doge]

    @Flanker_017: ARM 芯片在桌面消费市场真正的应用带来的影响是颠覆性的,无论是对灰黑产,风控,还是安全研究

    iOS App 流量抓包

    ARM-based macOS can run iOS apps + network traffic/cert store is tied to macOS = perfect for iOS app hacking

    https://twitter.com/iangcarroll/status/1329265104882343937

    Build macOS ARM apps in Xcode without a real macOS ARM SDK, by Zhuowei Zhang

    Here’s a script that modifies Xcode’s macOS SDK to build for ARM. You can use this to find code that won’t compile on ARM, to get a head start on porting before Apple releases Xcode for an ARM Mac.

    1

    https://worthdoingbadly.com/sim-macos-arm-sdk/

    https://twitter.com/zhuowei

    Audio/DSP

    M1 move hit sound designers, plugin companies, and instrument companies so hard atm. Imagine rewriting all of your low latency DSP code on new architecture. From scratch…

    https://twitter.com/vertexclique/status/1329247682838335491

    Rosetta2 == Intel :-)

    neat m1 tip: in activity monitor under Architecture you can see what's running native or rosetta 2. It'll be defined as Intel or Apple.

    1

    https://twitter.com/tldtoday/status/1329259162354675712

    19 条回复    2020-11-20 13:30:12 +08:00
    ziyuan
        1
    ziyuan  
       2020-11-20 08:27:52 +08:00
    能不能开发个自动抢茅台的 app
    meganut
        2
    meganut  
       2020-11-20 08:40:17 +08:00   ❤️ 1
    楼主每天都弄这个日报 我决定以后当作早餐读物看 555 太感人了
    virgil1988
        3
    virgil1988  
       2020-11-20 09:00:22 +08:00 via iPhone
    太酷了,这下可以随意研究各种 iOS 上的 app 了
    frqk
        4
    frqk  
       2020-11-20 09:04:57 +08:00
    也就是保存在 UserDefaults 里的数据都可以随便看了?
    cwr31
        5
    cwr31  
       2020-11-20 09:07:21 +08:00 via iPhone
    cool
    fuo
        6
    fuo  
       2020-11-20 09:10:01 +08:00
    @meganut 附议
    tsanie
        7
    tsanie  
       2020-11-20 09:13:01 +08:00
    第一个比较感兴趣,以前要用 mitmproxy 加透明代理来抓包
    gainsurier
        8
    gainsurier  
       2020-11-20 09:15:44 +08:00
    图裂了。
    Te11UA
        9
    Te11UA  
       2020-11-20 09:19:40 +08:00
    第一个太吊了
    M1hahahaha
        10
    M1hahahaha  
       2020-11-20 09:22:03 +08:00 via Android
    此时此刻,年轻的安卓开发者,可以发奋一下转 iOS 了。安卓只是手机,ios 是手机平板加电脑,方向多路子广啊
    lixintcwdsg
        11
    lixintcwdsg  
       2020-11-20 09:25:31 +08:00
    主要是手上手机号和 ip 要足够多
    不过如果仅仅使用 uuid deviceid idfa 这类东西刷量,的确现在算是一个漏洞
    买一台 16G 的赶紧做一个刷量系统玩儿玩儿。。。
    不过大量 UUID 集中在少数 IP 这种低级流量识别的方法,苹果应该是肯定做了的才对
    12101111
        12
    12101111  
       2020-11-20 09:40:14 +08:00
    所以即使没有出现在 mas 里的 ipa 也可以安装?
    fisher335
        13
    fisher335  
       2020-11-20 10:00:14 +08:00
    你说 ios 开始跟 windows 路线一样,不限制机器,允许 arm 的机器随便装,然后按照序列号收钱,或者再大胆一点,全部免费,靠 appstore 收钱,会不会直接给 win+intel 干爬下?
    cht
        14
    cht  
       2020-11-20 11:44:32 +08:00
    看到 lz 帖后 莫名其妙地想找论坛上用 Herb Sutter 当头像的那个人是谁来着 结果没找到 。。。
    iawes
        15
    iawes  
       2020-11-20 11:46:32 +08:00
    @fisher335 系统开放之后肯定干不过 windows,Windows 是绑定了 office
    zckevin
        16
    zckevin  
    OP
       2020-11-20 12:36:40 +08:00
    @meganut 感谢,随便摘抄的
    zckevin
        17
    zckevin  
    OP
       2020-11-20 12:37:24 +08:00
    @cht1995 真巧,我也在某个论坛用过 Herb Sutter 的头像...
    JerryCha
        18
    JerryCha  
       2020-11-20 13:12:11 +08:00   ❤️ 1
    危 阿里 危,闲鱼又能在电脑上用了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4632 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 01:07 · PVG 09:07 · LAX 17:07 · JFK 20:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.