恐怖啊,为了安全,请 越狱用户/开发者 预防360产品

2012-08-26 23:20:42 +08:00
 hidden
由于这阵子有个别用户说访问我软件会闪退,于是就联系他们调试,结果发现卸载了360省电王就正常了, 于是我就装了个360省电王测试。 当我发现问题的时候那个恐怖啊。

由于我需要对一些隐私数据加密, 加密使用了网上通用的NSData+AESCrypt。 调试的时候发现代码中的NSData的AES256EncryptWithKey里面的代码没有执行,应该是被360省电王给接管了。 然后返回了nil,我没预期这个nil,所以程序崩溃了。

可能的后果:接管 AES256DecryptWithKey:key 意味着360省电王可以获得你的加密key。 那么你通过加密存在NSUserDefaults里面的数据无条件的给暴露了。。

由于好久没用windows,一直不知道360都干啥了,现在才意识到什么叫无底线。。。

好吧,如果你是用户,果断卸载。 如果你是开发者,改掉key,改掉AES256DecryptWithKey函数名。
21147 次点击
所在节点    iPhone
25 条回复
darkfall
2012-08-27 11:28:04 +08:00
用MobileSubstrate hook的吧

http://iphonedevwiki.net/index.php/MobileSubstrate

MobileHooker is used to replace system functions. This process is known as hooking. There are 2 APIs that one would use:

IMP MSHookMessage(Class class, SEL selector, IMP replacement, const char* prefix); // prefix should be NULL.

void MSHookMessageEx(Class class, SEL selector, IMP replacement, IMP *result);

这样的话针对某个selector的hook不在话下wwww
amandayi
2012-08-27 11:44:54 +08:00
非常简单的一个问题,象blankwonder说的,这肯定是dylib使用上的问题,越狱开发很容易出这个粗心的问题,而这种问题测试肯定测试不到的!

要验证也容易,你先调用你的程序,然后再运行省电王,他同样不能调用NSData+AESCrypt的了。
wezzard
2012-08-27 12:02:41 +08:00
做國內市場真的很頭疼,除了各種盜版,還有各種外圍環境影響。
whbell
2012-08-27 13:23:07 +08:00
360, 百度, 金山, QQ, 迅雷, 瑞星, - 安装了等于开门揖盗! 一群畜牲
fuyyu
2012-08-28 16:07:10 +08:00
感谢各位关注,我们已经通过改进源代码来让其他开发者的应用可以正常实现。此前由于我们的程序员使用了一段开源的加密函数,具体的是开源项目https://gist.github.com/1243257中的AES256DecryptWithKey函数。这段代码被很多程序所使用,由于iOS后台程序在加载的时候只能使用一个,这样如果系统先加载我们的程序的话,会造成其他程序调用此函数时出错。同理,如果系统先加载其他程序,我们的程序运行也会出错。为了避免在这个开源加密函数的调用和其他程序互相干扰,我们已经修改了代码来避让您所开发的程序,目前的版本已经没有此问题,请知晓。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/46093

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX