如何分析中招 app，到底发了什么数据到服务器

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3334 天前的主题，其中的信息可能已经有所发展或是发生改变。

xcode 问题，然后始作俑者已经上传代码到 github ，但是大家并不能亲信，也有人说上传了个阉割版。所以，是否可以这样。在 ios 内，配置一个 host 的东西，然后这个域名，指向自己的服务器。然后，自己的服务器接收包，看看，到底发了什么东西给服务器。

第 1 条附言 · 2015-09-19 12:19:47 +08:00

确实，没考虑周全
大家说的，这种情况，处理不到
》比如不主动弹窗钓鱼，但服务器可以插段弹窗代码让它执行，类似这种你只是监听没用的。
另外，加密，比如 ssl ，那也处理不到

服务器

阉割版

上传

Xcode

32 条回复 • 2015-09-19 21:55:44 +08:00

virusdefender

2015-09-19 11:01:48 +08:00

charles fiddler 之类的抓包

loading

2015-09-19 11:02:50 +08:00

有什么能阻挡抓包！

看来下次后门还是用 ssl 。。。

LINAICAI

2015-09-19 11:05:32 +08:00

有想法。。。
我想知道怎么在 ios 上配置 host
话说 xcode7 的新增功能默认 https 简直好针对啊。。。

ybh37

2015-09-19 11:06:38 +08:00

@loading 好办法， URL 还是暴露了……

loading

2015-09-19 11:08:45 +08:00

@ybh37 你没看别人用防火墙都没感觉出来吗？域名很重要！

Quaintjade

2015-09-19 11:10:00 +08:00 via Android

如果 app 还能监听和执行远程指令呢？
比如不主动弹窗钓鱼，但服务器可以插段弹窗代码让它执行，类似这种你只是监听没用的。
另外，假如发包是加密的，你抓了包也很难分析。

zhujinliang

2015-09-19 11:10:11 +08:00

我抓到了，但是不会解密。。。

https://github.com/XcodeGhostSource/XcodeGhost/blob/master/CoreFoundations.m
527 行应该是解密函数
有人能翻译成 go 语言的么。。。

CRH

2015-09-19 11:14:06 +08:00

http://www.weibo.com/p/1001603888503866975286 这里有人解密了，发上去的确实就是那些没什么用的信息。但是关键是服务器返回什么指令

loading

2015-09-19 11:15:52 +08:00

@CRH 让你手机弹出一个高仿的密码输入框。。。

CRH

2015-09-19 11:23:01 +08:00

@loading 但是目前为止没看到证据说他确实弹过这么个框。。
而且能获取 Apple ID 的漏洞 CVE-2014-4423 只在 iOS 7.1.2 及更早的版本中存在

CRH

2015-09-19 11:26:36 +08:00

@loading 源码（暂时就当它是真的）里也没有弹出文本输入框的相关代码

loqixh

2015-09-19 11:40:50 +08:00

ida 神器

2015-09-19 11:47:04 +08:00 via iPad

@CRH 我曾经在今年夏天至少两次见过个别应用在正常使用（无购买行为）时弹出苹果账号登录对话框，当时的做法好象是忽略。如果没有存在理解差异问题，那么我见到过。我的系统版本是 7.1.2 ，现在打算升到 9 了。

dong3580

2015-09-19 12:19:25 +08:00 via Android

上次我在 v2 上说的经常被弹出密码输入框，有好几个童鞋和我一样的情况，不知道这个是不是与这货有关，还是系统本身的问题。

https://www.v2ex.com/t/218298#reply11

dcty

2015-09-19 12:44:23 +08:00

@zhujinliang 貌似内存泄漏

est

2015-09-19 12:57:06 +08:00

@loading 抓包很容易阻挡的。。。。

lawder

2015-09-19 13:47:43 +08:00

@PP
@CRH 看源码（（暂时就当它是真的）） 482 行，[self Store:appID]，再看 Store: 这个方法，调用 presentViewController 方法弹出一个 SKStoreProductViewController ，看苹果文档 https://developer.apple.com/library/prerelease/ios/documentation/StoreKit/Reference/SKITunesProductViewController_Ref/index.html#//apple_ref/occ/instm/SKStoreProductViewController/loadProductWithParameters:completionBlock: 对 SKStoreProductViewController 的解释， A SKStoreProductViewController object presents a store that allows the user to purchase other media from the App Store. For example, your app might display the store to allow the user to purchase another app. 这货调用购买接口，系统应该会弹出苹果账号登录对话框的

wuhx

2015-09-19 13:53:43 +08:00

@est @loading 在路由器上用中间人攻击分析流量，自建一个 CA 把 https 也搞定

2015-09-19 13:54:29 +08:00 via iPad

@lawder So, it's true. Thank you!

Strikeactor

2015-09-19 13:59:19 +08:00

Debookee
一直对这货有好感，顺手安利一下吧
优点是只要处在同一局域网，移动端不用装客户端就能抓

CRH

2015-09-19 13:59:54 +08:00

@lawder 可是弹的这个登录框里输入的密码这个 APP 又没法拿到。。

loading

2015-09-19 14:06:24 +08:00 via Android

@wuhx 对，差点忘了中间人…

lawder

2015-09-19 14:06:46 +08:00

@CRH 是的，所以我觉得它的目的不是为了偷密码，而是为了推广 /出售 App 而获利。

msn1983aa

2015-09-19 14:58:44 +08:00

还有一种可能是为了数量庞大的被盗 iPhone\ipad 提供解锁密码库

lawder

2015-09-19 16:35:34 +08:00

@PP
@CRH 写 Demo 验证了下作者调用 SKStoreProductViewController 的方式，这种方式会先在当前 App 前弹一个对应 appID 的 store 窗口出来（其实就是在当前 App 内弹 App Store ），在里面点了“获取”后才会弹出 iTunes Store 账号登录对话框，之前的说法不太准确， Sorry.

gswxy

2015-09-19 16:56:05 +08:00

@Strikeactor 软件好贵的说

est

2015-09-19 18:33:33 +08:00

@wuhx 客户端可以 pin 死证书的。中间人不一定有效。客户端静态连接 SSL ，很难分析出来。

zwzmzd

2015-09-19 18:41:19 +08:00 via Android

@loading 抓包软件生成一个证书并安装到设备中，一般也可以解决 ssl 抓包问题。
不过还有些更高级的技术可以指定证书链，上面的方法就不一定有用了

heww

2015-09-19 19:13:21 +08:00 via iPhone

@dong3580 我也遇到过好多次让输入密码的，每次还密码错误，然后那段时间我频繁的修改密码。当然了，看了这几天的帖子，我今天又改了次密码。

dong3580

2015-09-19 19:36:26 +08:00

@heww
已改，自从上次某邮箱大户泄露信息之后，所有的密码和密保全部随机。

Strikeactor

2015-09-19 19:49:40 +08:00

@gswxy 我当时也是这么说的，然后那头麻利的给了我个折扣 order ，折到了 100 软妹币左右
所以才一直有好感。。

beimenjun

2015-09-19 21:55:44 +08:00

问题最关键的是这些就是全部源码了吗。

其实如果这就是全部源码倒是可以放心很多。否则就很难说这半年究竟干嘛了。