V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ynyounuo
V2EX  ›  Xcode

XcodeGhost 可能的元凶是 XY 助手?

  •  6
     
  •   ynyounuo · 2015-09-18 17:41:01 +08:00 · 15339 次点击
    这是一个创建于 3348 天前的主题,其中的信息可能已经有所发展或是发生改变。


    那么其他助手类应用是否也在之前干过其他类似的事情?
    尤其是记录他人 appid 下购买的应用然后给另外的人使用这种事儿肯定需要获取大量相关信息。

    91 条回复    2015-09-22 08:58:28 +08:00
    panlilu
        1
    panlilu  
       2015-09-18 17:45:53 +08:00
    感觉十有八九
    learnshare
        2
    learnshare  
       2015-09-18 17:46:36 +08:00
    之前麦芽地不是干这个么
    manhere
        3
    manhere  
       2015-09-18 17:48:03 +08:00
    召唤 @caoz
    jadecoder
        4
    jadecoder  
       2015-09-18 17:54:57 +08:00
    @manhere 这召唤的谁?曹政吗?
    laoyur
        5
    laoyur  
       2015-09-18 17:55:56 +08:00   ❤️ 1
    感觉这事后续还会很精彩

    百度盘上发布 xcodeghost 的人叫 coderfun ,发布帖链接: http://www.swiftmi.com/topic/259.html
    这个帖已经被 swiftmi 的管理员删掉了,可谁知道删帖的真实目的是啥呢,对不?

    以下是快照内容:
    http://webcache.googleusercontent.com/search?q=cache:QGX2XZaxIJkJ:www.swiftmi.com/topic/259.html+&cd=1&hl=zh-CN&ct=clnk

    有没有大神能扒一扒 coderfun 的皮,以及,这个 swiftmi 是否也有嫌疑, coderfun 专门选择这么一个规模很小的网站来做他的 ghost 下载索引页,是不是可疑?
    hyzjshwo
        6
    hyzjshwo  
       2015-09-18 17:58:05 +08:00
    关注中
    jiezhi
        7
    jiezhi  
       2015-09-18 18:00:22 +08:00
    关注+1
    yanwen
        8
    yanwen  
       2015-09-18 18:06:40 +08:00
    严重关注。。
    fanux
        9
    fanux  
       2015-09-18 18:08:09 +08:00 via Android
    围观
    minvacai
        10
    minvacai  
       2015-09-18 18:09:01 +08:00
    友情提醒一句,快照也是可以删的,要快点截图
    Laforet
        11
    Laforet  
       2015-09-18 18:20:39 +08:00
    lisonfan
        12
    lisonfan  
       2015-09-18 18:22:51 +08:00
    @minvacai 已截图
    laoyur
        13
    laoyur  
       2015-09-18 18:27:37 +08:00   ❤️ 4
    说起来真是傻逼,我在模拟器调试过程中, Little Snitch 多次提醒我 app 访问 init.icloud-analysis ,我特么竟然一直以为这货是苹果的服务……
    xuxu
        14
    xuxu  
       2015-09-18 18:28:52 +08:00
    http://weibo.com/chengxuyuanyoumo
    跟这个微博有关系?
    xieweizhi007
        15
    xieweizhi007  
       2015-09-18 18:29:20 +08:00
    @laoyur 我也是
    ynyounuo
        16
    ynyounuo  
    OP
       2015-09-18 18:33:59 +08:00   ❤️ 1
    @laoyur
    现在有三种可能性:
    1. Coderfun 是 XY 助手专门用来干这个事儿的程序员;
    2. Coderfun 和 XY 助手无关,只是一个离线包分享者,不小心从非官方途径获取了染毒的 Xcode 并且一直依附于该非官方渠道;
    3. Coderfun 和 XY 助手等是合作关系。
    DearMark
        17
    DearMark  
       2015-09-18 18:41:44 +08:00
    上面的是那个网站?
    laoyur
        18
    laoyur  
       2015-09-18 18:49:18 +08:00
    @ynyounuo 这事已经闹两天了, coderfun 已经在第一时间把 Xcode7 正式版放上去了,说明他是非常活跃的,而他至今未现身留下任何辩解,所以 2 的可能性不是很大
    manhere
        19
    manhere  
       2015-09-18 18:50:39 +08:00
    @jadecoder 因为这两天 caoz 刚鼓吹完这家公司
    jun0205
        20
    jun0205  
       2015-09-18 18:56:11 +08:00
    越挖越深了,关注结果
    mornlight
        21
    mornlight  
       2015-09-18 18:58:41 +08:00
    @manhere V2 的 caoz 不是曹政本人
    ynyounuo
        22
    ynyounuo  
    OP
       2015-09-18 18:58:56 +08:00
    free9fw
        23
    free9fw  
       2015-09-18 19:00:40 +08:00
    https://github.com/iBcker/adcdownload 这个很可疑,正在下载的 xcode7 ,被百度云告知有可疑内容而停止下载,而后这个链接被取消了分享
    nasta
        24
    nasta  
       2015-09-18 19:01:02 +08:00
    @laoyur 估计这个后门的作者都没想到事情能搞那么大
    DearMark
        25
    DearMark  
       2015-09-18 19:02:23 +08:00
    我是说查询域名信息的网站
    ynyounuo
        26
    ynyounuo  
    OP
       2015-09-18 19:03:22 +08:00
    xingso
        27
    xingso  
       2015-09-18 19:04:35 +08:00
    @free9fw 应该是百度盘把所有 xCode 的内容都暂时封了。。。我 6.4 在他那下的。查了 sha1.没问题
    wzxjohn
        28
    wzxjohn  
       2015-09-18 19:04:43 +08:00
    高德地图也中招了。。。
    free9fw
        29
    free9fw  
       2015-09-18 19:05:45 +08:00
    @xingso xcode7 呢
    wzxjohn
        30
    wzxjohn  
       2015-09-18 19:26:22 +08:00
    同步推的 贴图大全也中招了。
    flicker317
        31
    flicker317  
       2015-09-18 19:29:39 +08:00
    @free9fw Xcode7 也没问题, 上面的 SHA1 是对的, 不过可以的话还是在官网上下吧
    free9fw
        32
    free9fw  
       2015-09-18 19:36:14 +08:00
    @flicker317 http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg 这才是原汁原味的官方下载链接,可以不用更新 6.4 ,再装一个 7
    pi1ot
        33
    pi1ot  
       2015-09-18 19:43:18 +08:00
    ynyounuo
        34
    ynyounuo  
    OP
       2015-09-18 19:54:39 +08:00
    @pi1ot
    - - 只有一句话有用:
    稍有常识的人就应该知道,域名是任何人都可以申请建立的。

    然而我想问一下,他们的免费正版应用是从哪来的?


    http://www.xyzs.com/zhushou/
    该页面已经变成空白
    camillo
        35
    camillo  
       2015-09-18 20:39:42 +08:00 via iPhone
    这次的事件和该助手有没有关系不敢说,助手类软件以前作恶譬如顺便刷个榜什么的那都是常事
    JimmyCai
        36
    JimmyCai  
       2015-09-18 20:44:54 +08:00 via Android
    关注中
    icreeper
        37
    icreeper  
       2015-09-18 20:55:41 +08:00
    xy 助手连微博评论都清理了
    ynyounuo
        38
    ynyounuo  
    OP
       2015-09-18 20:56:36 +08:00
    @camillo
    是不敢说所以我用了问号
    但是现在 XY 助手清理自己的盗版应用下载页面就不知道是为什么了,有嫌疑但是没有明确证据之前谁都不好说。当然心里自然有自己的判断。
    realpg
        39
    realpg  
       2015-09-18 21:28:51 +08:00
    已经技术上确认跟某个助手是一家的,不是合作关系是一家的。
    我可没说是哪个助手,某个而已……我可怕他家法务……
    ynyounuo
        40
    ynyounuo  
    OP
       2015-09-18 21:44:48 +08:00
    @realpg 有证据怕什么呀 - - 造谣的前提是没有证据。
    realpg
        41
    realpg  
       2015-09-18 21:45:53 +08:00
    @ynyounuo
    有证据也怕怕的……关键是……是某助手……好像不是大家想的那一个……
    ynyounuo
        42
    ynyounuo  
    OP
       2015-09-18 21:48:05 +08:00
    @realpg 能透露一下大概从什么中得出的结论么?我可以自己试图挖一挖。
    realpg
        43
    realpg  
       2015-09-18 21:55:48 +08:00   ❤️ 4
    @ynyounuo
    没有直接证据,有三处旁证,类似指纹的东西,而且没法保存证据了……现在貌似没法验证了
    当时几个技术分析的基本从旁证推断关联性了

    这个问题很早我们这边的一个哥们就发现了,那时候证据链还在……

    因为吧,我这边有一个测试软件的 ipad , iphone 模式跑着一个纯本地的程序,总弹窗让输 icloud 密码,这程序就是个本地的纯本地技术辅助程序连互联网都不会连,没用任何 icloud 的 api ,怎么会弹让输 icloud 密码,而且跑在专门的测试机上根本没有任何其他软件没有越狱,然后抓包就发现了那个网址,然后就开始反向反向再反向……
    ynyounuo
        44
    ynyounuo  
    OP
       2015-09-18 22:17:57 +08:00
    @realpg …………所以就是说 icloud 弹窗密码会泄露大概是真的咯?
    realpg
        45
    realpg  
       2015-09-18 22:21:49 +08:00
    @ynyounuo 不清楚具体逻辑实现。没有充分反编译程序。
    我可以告诉你的是,用了感染病毒的 XCODE 编译出来的程序,没有访问 icloud 的需求的时候,会弹窗让你输入 icloud 密码,而且用户名已经给你填好了是当前用户名。
    fogisland
        46
    fogisland  
       2015-09-18 22:41:14 +08:00 via iPhone
    @realpg 是在受感染的应用内弹窗还是可以在桌面弹窗呢?
    Ixizi
        47
    Ixizi  
       2015-09-18 22:46:38 +08:00
    流氓软件,自动添加 XY 助手的书签到 Safari !
    zyAndroid
        48
    zyAndroid  
       2015-09-18 22:51:17 +08:00
    @realpg 我靠,大哥你该保留证据链的呀,真是伤感
    iShao
        49
    iShao  
       2015-09-18 22:54:46 +08:00
    ![不是不想从官方下载, 速度太慢]( )

    话说, 回复里如何插入图片呢, 好像不支持 markdown 语法
    lisonfan
        50
    lisonfan  
       2015-09-18 22:58:51 +08:00 via iPhone   ❤️ 1
    @iShao 回复用的不是 markdown 语法
    n6DD1A640
        51
    n6DD1A640  
       2015-09-18 23:04:51 +08:00   ❤️ 1
    @iShao aria2 10 线程拖!
    lightforce
        52
    lightforce  
       2015-09-18 23:12:55 +08:00   ❤️ 1
    @iShao proxycap+ss+IDM
    RqPS6rhmP3Nyn3Tm
        53
    RqPS6rhmP3Nyn3Tm  
       2015-09-18 23:23:02 +08:00 via iPad
    这次事件大了,可能要惊动 government 了。要是能以此为契机放开网络出口就好了。
    WildCat
        54
    WildCat  
       2015-09-18 23:33:09 +08:00
    @BXIA 想多了,醒醒,哦不,还是早点睡吧
    RqPS6rhmP3Nyn3Tm
        55
    RqPS6rhmP3Nyn3Tm  
       2015-09-18 23:35:49 +08:00 via iPad   ❤️ 1
    @WildCat YY 一下而已,要不然生活得多无趣啊
    qw7692336
        56
    qw7692336  
       2015-09-18 23:44:17 +08:00
    @n6DD1A640
    @lightforce
    各显神通了
    ynyounuo
        57
    ynyounuo  
    OP
       2015-09-19 00:22:00 +08:00
    @iShao
    下载后校检 Hash 就好
    iShao
        58
    iShao  
       2015-09-19 00:24:45 +08:00
    @n6DD1A640 怎么接管? 实际上在 dev 中心点击下载和复制链接到 aria2 中下载发出去的请求应该是不一样的,用 aria2 下载地址得到的是个 HTML 文件

    n6DD1A640
        59
    n6DD1A640  
       2015-09-19 00:44:45 +08:00
    @iShao aria2c 导入 cookies 啊。先在浏览器登录,然后抓下 cookies 。
    ynyounuo
        60
    ynyounuo  
    OP
       2015-09-19 01:38:12 +08:00
    @iShao 无论从哪里下载都要通过检验 Hash 来判断自己的文件没有被修改过呀,否则说不定官方渠道下载被劫持一样下到污浊版本。
    ibcker
        61
    ibcker  
       2015-09-19 02:14:35 +08:00   ❤️ 1
    @free9fw 后面加了文件验证的均没问题。
    以前的大部分是我亲手下的,小部分是网友分享的,所以以前的不敢保证,后面的人格担保没问题
    ibcker
        62
    ibcker  
       2015-09-19 02:18:39 +08:00   ❤️ 1
    @free9fw 百度出现分享警告那个当时是遇到了,我没搞清楚什么原因,重新上传一份又好了,所以你才遇到了旧链接被取消的情况~ 当时是 @mornlight 在操作,后面我两都验证过了。放心下载便是~

    ps :我在 [实现网] ,并不是 XY 助手 , XD
    ljbha007
        63
    ljbha007  
       2015-09-19 08:06:24 +08:00
    @realpg 这种手段有 360 的尿性
    richardhc
        64
    richardhc  
       2015-09-19 08:28:00 +08:00
    关注中。。。
    wdlth
        65
    wdlth  
       2015-09-19 08:44:55 +08:00
    论 Dnsmasq 和 Hosts 的重要性……
    wayne1943
        66
    wayne1943  
       2015-09-19 08:52:03 +08:00
    @flicker317 问下,从官网下直接跳转到 App Store ,怎么保存安装包呀?
    ddqp
        67
    ddqp  
       2015-09-19 08:59:37 +08:00 via iPhone
    立马联想到 360 ,觉得好亲切
    LINAICAI
        68
    LINAICAI  
       2015-09-19 09:17:58 +08:00
    妈的,感觉这事不是这么简单,因为这段时间刚好是 xy 助手兴起的日子。。。
    ksky
        69
    ksky  
       2015-09-19 09:34:41 +08:00   ❤️ 1
    不知道立案没有。应该很容易把人找出来吧。现存的证据找人应该容易。
    cxz
        70
    cxz  
       2015-09-19 09:47:55 +08:00
    @realpg 当前用户名是指 iCloud 账号的邮箱地址吗?在没有越狱的设备上恶意代码能获取这个信息?
    realpg
        71
    realpg  
       2015-09-19 09:51:43 +08:00
    @cxz
    不对 好像那个设备越狱了,不过不是我越狱的,等周一核对一下……
    Dashit
        73
    Dashit  
       2015-09-19 09:53:54 +08:00
    ninggu2008
        74
    ninggu2008  
       2015-09-19 10:07:06 +08:00
    @ynyounuo 有自带 hash 校验工具的下载软件吗?我觉得下载工具带这个功能很实用啊,好像没见过带的。
    ershiwo
        75
    ershiwo  
       2015-09-19 10:39:55 +08:00 via Android
    @ninggu2008 火狐的扩展插件 downthemall 有 md5 和 sha1 检查
    nicevoice
        76
    nicevoice  
       2015-09-19 10:47:13 +08:00
    难怪好眼熟的 ID 的样子,还好是做神经猫的那个鸟人,哈哈哈,别人就做个广告进去,又不会死,还盗取密码呢?以前 pconline 和那谁站点,不是全靠广告活下来了么
    大惊小怪。
    sunyang
        77
    sunyang  
       2015-09-19 10:56:23 +08:00
    我去 369 不会又投资了吧?
    LINAICAI
        78
    LINAICAI  
       2015-09-19 10:59:09 +08:00
    网易这类 app 多少用户啊,通过 xcode 植入的木马传播的速度简直不谈了,收集的用户数据那时千万级别了吧,具体收集了什么数据,人家告诉你,你信吗
    mornlight
        79
    mornlight  
       2015-09-19 10:59:54 +08:00
    @ninggu2008 Mac 下自己开个终端就可以了, shasum 和 md5 这两个命令
    andychen20121130
        80
    andychen20121130  
       2015-09-19 11:05:50 +08:00
    只用官方 APP store 下载
    sobigfish
        81
    sobigfish  
       2015-09-19 11:29:39 +08:00
    @iShao cat /etc/hosts | grep adcdownload.apple.com
    203.69.138.* adcdownload.apple.com

    AKAMAI 有很多服务器啊,用 ping 工具 /nslookup 找 tw kr jp 的服务器啊
    ninggu2008
        83
    ninggu2008  
       2015-09-19 11:47:56 +08:00
    @ershiwo 迅雷、百度云最应该增加。遇到过下载下来 md5 不对
    ninggu2008
        84
    ninggu2008  
       2015-09-19 11:48:55 +08:00
    @mornlight 用的 windows 。再说,哪有在下载工具加个按钮,甚至下载完自动计算方便啊。
    LoliconInside
        85
    LoliconInside  
       2015-09-19 12:09:05 +08:00
    @BXIA 想太多, ZZ 高于一切,哪怕国内 iOS 和 Android 全面沦陷都不能开放互联网。
    kqz901002
        86
    kqz901002  
       2015-09-19 12:26:05 +08:00
    @BXIA 不会放开,只会引进
    ershiwo
        87
    ershiwo  
       2015-09-19 13:11:09 +08:00 via Android
    @ninggu2008 他们的用户体验已经可以吃屎去了,皮肤再好看有个屁用。在人家眼里这算不上下载的核心功能吧,毕竟小白和普通用户不会注意那么多的。
    asca
        88
    asca  
       2015-09-19 13:14:13 +08:00 via Android
    是不是 pp 助手?
    ynyounuo
        89
    ynyounuo  
    OP
       2015-09-19 18:05:01 +08:00
    @sobigfish
    并不认为是原作者本身以个人意愿发出的。
    CRH
        90
    CRH  
       2015-09-20 08:46:28 +08:00
    @cxz 在未越狱设备上, iOS 7.1.2 及之前有这么个漏洞可以拿到 Apple ID
    http://bobao.360.cn/learning/detail/314.html

    这里有整个钓鱼过程的 POC ,不过我没看懂作者是怎么在 iOS 8.1.3 上拿到 Apple ID 的。。
    http://drops.wooyun.org/mobile/4998
    http://appsrv.cse.cuhk.edu.hk/~mzheng/paper/ASIACCS2015IOS.pdf
    flicker317
        91
    flicker317  
       2015-09-22 08:58:28 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2617 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 10:34 · PVG 18:34 · LAX 02:34 · JFK 05:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.