V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Xcode

XcodeGhost 可能的元凶是 XY 助手?

  •  6
     
  •   ynyounuo · 2015-09-18 17:41:01 +08:00 · 9248 次点击
    这是一个创建于 557 天前的主题,其中的信息可能已经有所发展或是发生改变。


    那么其他助手类应用是否也在之前干过其他类似的事情?
    尤其是记录他人 appid 下购买的应用然后给另外的人使用这种事儿肯定需要获取大量相关信息。

    91 回复  |  直到 2015-09-22 08:58:28 +08:00
        1
    panlilu   2015-09-18 17:45:53 +08:00
    感觉十有八九
        2
    learnshare   2015-09-18 17:46:36 +08:00
    之前麦芽地不是干这个么
        3
    manhere   2015-09-18 17:48:03 +08:00
    召唤 @caoz
        4
    jadecoder   2015-09-18 17:54:57 +08:00
    @manhere 这召唤的谁?曹政吗?
        5
    laoyur   2015-09-18 17:55:56 +08:00   ♥ 1
    感觉这事后续还会很精彩

    百度盘上发布 xcodeghost 的人叫 coderfun ,发布帖链接: http://www.swiftmi.com/topic/259.html
    这个帖已经被 swiftmi 的管理员删掉了,可谁知道删帖的真实目的是啥呢,对不?

    以下是快照内容:
    http://webcache.googleusercontent.com/search?q=cache:QGX2XZaxIJkJ:www.swiftmi.com/topic/259.html+&cd=1&hl=zh-CN&ct=clnk

    有没有大神能扒一扒 coderfun 的皮,以及,这个 swiftmi 是否也有嫌疑, coderfun 专门选择这么一个规模很小的网站来做他的 ghost 下载索引页,是不是可疑?
        6
    hyzjshwo   2015-09-18 17:58:05 +08:00
    关注中
        7
    jiezhi   2015-09-18 18:00:22 +08:00
    关注+1
        8
    yanwen   2015-09-18 18:06:40 +08:00
    严重关注。。
        9
    fanux   2015-09-18 18:08:09 +08:00 via Android
    围观
        10
    minvacai   2015-09-18 18:09:01 +08:00
    友情提醒一句,快照也是可以删的,要快点截图
        11
    Laforet   2015-09-18 18:20:39 +08:00
    @minvacai

    已经在 archive.is 留档

    https://archive.is/X5GGX
        12
    lisonfan   2015-09-18 18:22:51 +08:00
    @minvacai 已截图
        13
    laoyur   2015-09-18 18:27:37 +08:00   ♥ 4
    说起来真是傻逼,我在模拟器调试过程中, Little Snitch 多次提醒我 app 访问 init.icloud-analysis ,我特么竟然一直以为这货是苹果的服务……
        14
    xuxu   2015-09-18 18:28:52 +08:00
    http://weibo.com/chengxuyuanyoumo
    跟这个微博有关系?
        15
    xieweizhi007   2015-09-18 18:29:20 +08:00
    @laoyur 我也是
        16
    ynyounuo   2015-09-18 18:33:59 +08:00   ♥ 1
    @laoyur
    现在有三种可能性:
    1. Coderfun 是 XY 助手专门用来干这个事儿的程序员;
    2. Coderfun 和 XY 助手无关,只是一个离线包分享者,不小心从非官方途径获取了染毒的 Xcode 并且一直依附于该非官方渠道;
    3. Coderfun 和 XY 助手等是合作关系。
        17
    DearMark   2015-09-18 18:41:44 +08:00
    上面的是那个网站?
        18
    laoyur   2015-09-18 18:49:18 +08:00
    @ynyounuo 这事已经闹两天了, coderfun 已经在第一时间把 Xcode7 正式版放上去了,说明他是非常活跃的,而他至今未现身留下任何辩解,所以 2 的可能性不是很大
        19
    manhere   2015-09-18 18:50:39 +08:00
    @jadecoder 因为这两天 caoz 刚鼓吹完这家公司
        20
    jun0205   2015-09-18 18:56:11 +08:00
    越挖越深了,关注结果
        21
    mornlight   2015-09-18 18:58:41 +08:00
    @manhere V2 的 caoz 不是曹政本人
        22
    ynyounuo   2015-09-18 18:58:56 +08:00
        23
    free9fw   2015-09-18 19:00:40 +08:00
    https://github.com/iBcker/adcdownload 这个很可疑,正在下载的 xcode7 ,被百度云告知有可疑内容而停止下载,而后这个链接被取消了分享
        24
    nasta   2015-09-18 19:01:02 +08:00
    @laoyur 估计这个后门的作者都没想到事情能搞那么大
        25
    DearMark   2015-09-18 19:02:23 +08:00
    我是说查询域名信息的网站
        26
    ynyounuo   2015-09-18 19:03:22 +08:00
        27
    xingso   2015-09-18 19:04:35 +08:00
    @free9fw 应该是百度盘把所有 xCode 的内容都暂时封了。。。我 6.4 在他那下的。查了 sha1.没问题
        28
    wzxjohn   2015-09-18 19:04:43 +08:00
    高德地图也中招了。。。
        29
    free9fw   2015-09-18 19:05:45 +08:00
    @xingso xcode7 呢
        30
    wzxjohn   2015-09-18 19:26:22 +08:00
    同步推的 贴图大全也中招了。
        31
    flicker317   2015-09-18 19:29:39 +08:00
    @free9fw Xcode7 也没问题, 上面的 SHA1 是对的, 不过可以的话还是在官网上下吧
        32
    free9fw   2015-09-18 19:36:14 +08:00
    @flicker317 http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg 这才是原汁原味的官方下载链接,可以不用更新 6.4 ,再装一个 7
        33
    pi1ot   2015-09-18 19:43:18 +08:00
        34
    ynyounuo   2015-09-18 19:54:39 +08:00
    @pi1ot
    - - 只有一句话有用:
    稍有常识的人就应该知道,域名是任何人都可以申请建立的。

    然而我想问一下,他们的免费正版应用是从哪来的?


    http://www.xyzs.com/zhushou/
    该页面已经变成空白
        35
    camillo   2015-09-18 20:39:42 +08:00 via iPhone
    这次的事件和该助手有没有关系不敢说,助手类软件以前作恶譬如顺便刷个榜什么的那都是常事
        36
    JimmyCai   2015-09-18 20:44:54 +08:00 via Android
    关注中
        37
    icreeper   2015-09-18 20:55:41 +08:00
    xy 助手连微博评论都清理了
        38
    ynyounuo   2015-09-18 20:56:36 +08:00
    @camillo
    是不敢说所以我用了问号
    但是现在 XY 助手清理自己的盗版应用下载页面就不知道是为什么了,有嫌疑但是没有明确证据之前谁都不好说。当然心里自然有自己的判断。
        39
    realpg   2015-09-18 21:28:51 +08:00
    已经技术上确认跟某个助手是一家的,不是合作关系是一家的。
    我可没说是哪个助手,某个而已……我可怕他家法务……
        40
    ynyounuo   2015-09-18 21:44:48 +08:00
    @realpg 有证据怕什么呀 - - 造谣的前提是没有证据。
        41
    realpg   2015-09-18 21:45:53 +08:00
    @ynyounuo
    有证据也怕怕的……关键是……是某助手……好像不是大家想的那一个……
        42
    ynyounuo   2015-09-18 21:48:05 +08:00
    @realpg 能透露一下大概从什么中得出的结论么?我可以自己试图挖一挖。
        43
    realpg   2015-09-18 21:55:48 +08:00   ♥ 4
    @ynyounuo
    没有直接证据,有三处旁证,类似指纹的东西,而且没法保存证据了……现在貌似没法验证了
    当时几个技术分析的基本从旁证推断关联性了

    这个问题很早我们这边的一个哥们就发现了,那时候证据链还在……

    因为吧,我这边有一个测试软件的 ipad , iphone 模式跑着一个纯本地的程序,总弹窗让输 icloud 密码,这程序就是个本地的纯本地技术辅助程序连互联网都不会连,没用任何 icloud 的 api ,怎么会弹让输 icloud 密码,而且跑在专门的测试机上根本没有任何其他软件没有越狱,然后抓包就发现了那个网址,然后就开始反向反向再反向……
        44
    ynyounuo   2015-09-18 22:17:57 +08:00
    @realpg …………所以就是说 icloud 弹窗密码会泄露大概是真的咯?
        45
    realpg   2015-09-18 22:21:49 +08:00
    @ynyounuo 不清楚具体逻辑实现。没有充分反编译程序。
    我可以告诉你的是,用了感染病毒的 XCODE 编译出来的程序,没有访问 icloud 的需求的时候,会弹窗让你输入 icloud 密码,而且用户名已经给你填好了是当前用户名。
        46
    fogisland   2015-09-18 22:41:14 +08:00 via iPhone
    @realpg 是在受感染的应用内弹窗还是可以在桌面弹窗呢?
        47
    Ixizi   2015-09-18 22:46:38 +08:00
    流氓软件,自动添加 XY 助手的书签到 Safari !
        48
    zyAndroid   2015-09-18 22:51:17 +08:00
    @realpg 我靠,大哥你该保留证据链的呀,真是伤感
        49
    iShao   2015-09-18 22:54:46 +08:00
    ![不是不想从官方下载, 速度太慢]( )

    话说, 回复里如何插入图片呢, 好像不支持 markdown 语法
        50
    lisonfan   2015-09-18 22:58:51 +08:00 via iPhone   ♥ 1
    @iShao 回复用的不是 markdown 语法
        51
    n6DD1A640   2015-09-18 23:04:51 +08:00   ♥ 1
    @iShao aria2 10 线程拖!
        52
    lightforce   2015-09-18 23:12:55 +08:00   ♥ 1
    @iShao proxycap+ss+IDM
        53
    BXIA   2015-09-18 23:23:02 +08:00 via iPad
    这次事件大了,可能要惊动 government 了。要是能以此为契机放开网络出口就好了。
        54
    WildCat   2015-09-18 23:33:09 +08:00
    @BXIA 想多了,醒醒,哦不,还是早点睡吧
        55
    BXIA   2015-09-18 23:35:49 +08:00 via iPad   ♥ 1
    @WildCat YY 一下而已,要不然生活得多无趣啊
        56
    qw7692336   2015-09-18 23:44:17 +08:00
    @n6DD1A640
    @lightforce
    各显神通了
        57
    ynyounuo   2015-09-19 00:22:00 +08:00
    @iShao
    下载后校检 Hash 就好
        58
    iShao   2015-09-19 00:24:45 +08:00
    @n6DD1A640 怎么接管? 实际上在 dev 中心点击下载和复制链接到 aria2 中下载发出去的请求应该是不一样的,用 aria2 下载地址得到的是个 HTML 文件

        59
    n6DD1A640   2015-09-19 00:44:45 +08:00
    @iShao aria2c 导入 cookies 啊。先在浏览器登录,然后抓下 cookies 。
        60
    ynyounuo   2015-09-19 01:38:12 +08:00
    @iShao 无论从哪里下载都要通过检验 Hash 来判断自己的文件没有被修改过呀,否则说不定官方渠道下载被劫持一样下到污浊版本。
        61
    ibcker   2015-09-19 02:14:35 +08:00   ♥ 1
    @free9fw 后面加了文件验证的均没问题。
    以前的大部分是我亲手下的,小部分是网友分享的,所以以前的不敢保证,后面的人格担保没问题
        62
    ibcker   2015-09-19 02:18:39 +08:00   ♥ 1
    @free9fw 百度出现分享警告那个当时是遇到了,我没搞清楚什么原因,重新上传一份又好了,所以你才遇到了旧链接被取消的情况~ 当时是 @mornlight 在操作,后面我两都验证过了。放心下载便是~

    ps :我在 [实现网] ,并不是 XY 助手 , XD
        63
    ljbha007   2015-09-19 08:06:24 +08:00
    @realpg 这种手段有 360 的尿性
        64
    richardhc   2015-09-19 08:28:00 +08:00
    关注中。。。
        65
    wdlth   2015-09-19 08:44:55 +08:00
    论 Dnsmasq 和 Hosts 的重要性……
        66
    wayne1943   2015-09-19 08:52:03 +08:00
    @flicker317 问下,从官网下直接跳转到 App Store ,怎么保存安装包呀?
        67
    ddqp   2015-09-19 08:59:37 +08:00 via iPhone
    立马联想到 360 ,觉得好亲切
        68
    LINAICAI   2015-09-19 09:17:58 +08:00
    妈的,感觉这事不是这么简单,因为这段时间刚好是 xy 助手兴起的日子。。。
        69
    ksky   2015-09-19 09:34:41 +08:00   ♥ 1
    不知道立案没有。应该很容易把人找出来吧。现存的证据找人应该容易。
        70
    cxz   2015-09-19 09:47:55 +08:00
    @realpg 当前用户名是指 iCloud 账号的邮箱地址吗?在没有越狱的设备上恶意代码能获取这个信息?
        71
    realpg   2015-09-19 09:51:43 +08:00
    @cxz
    不对 好像那个设备越狱了,不过不是我越狱的,等周一核对一下……
        73
    Dashit   2015-09-19 09:53:54 +08:00
        74
    ninggu2008   2015-09-19 10:07:06 +08:00
    @ynyounuo 有自带 hash 校验工具的下载软件吗?我觉得下载工具带这个功能很实用啊,好像没见过带的。
        75
    ershiwo   2015-09-19 10:39:55 +08:00 via Android
    @ninggu2008 火狐的扩展插件 downthemall 有 md5 和 sha1 检查
        76
    nicevoice   2015-09-19 10:47:13 +08:00
    难怪好眼熟的 ID 的样子,还好是做神经猫的那个鸟人,哈哈哈,别人就做个广告进去,又不会死,还盗取密码呢?以前 pconline 和那谁站点,不是全靠广告活下来了么
    大惊小怪。
        77
    sunyang   2015-09-19 10:56:23 +08:00
    我去 369 不会又投资了吧?
        78
    LINAICAI   2015-09-19 10:59:09 +08:00
    网易这类 app 多少用户啊,通过 xcode 植入的木马传播的速度简直不谈了,收集的用户数据那时千万级别了吧,具体收集了什么数据,人家告诉你,你信吗
        79
    mornlight   2015-09-19 10:59:54 +08:00
    @ninggu2008 Mac 下自己开个终端就可以了, shasum 和 md5 这两个命令
        80
    andychen20121130   2015-09-19 11:05:50 +08:00
    只用官方 APP store 下载
        81
    sobigfish   2015-09-19 11:29:39 +08:00
    @iShao cat /etc/hosts | grep adcdownload.apple.com
    203.69.138.* adcdownload.apple.com

    AKAMAI 有很多服务器啊,用 ping 工具 /nslookup 找 tw kr jp 的服务器啊
        83
    ninggu2008   2015-09-19 11:47:56 +08:00
    @ershiwo 迅雷、百度云最应该增加。遇到过下载下来 md5 不对
        84
    ninggu2008   2015-09-19 11:48:55 +08:00
    @mornlight 用的 windows 。再说,哪有在下载工具加个按钮,甚至下载完自动计算方便啊。
        85
    LoliconInside   2015-09-19 12:09:05 +08:00
    @BXIA 想太多, ZZ 高于一切,哪怕国内 iOS 和 Android 全面沦陷都不能开放互联网。
        86
    kqz901002   2015-09-19 12:26:05 +08:00
    @BXIA 不会放开,只会引进
        87
    ershiwo   2015-09-19 13:11:09 +08:00 via Android
    @ninggu2008 他们的用户体验已经可以吃屎去了,皮肤再好看有个屁用。在人家眼里这算不上下载的核心功能吧,毕竟小白和普通用户不会注意那么多的。
        88
    asca   2015-09-19 13:14:13 +08:00 via Android
    是不是 pp 助手?
        89
    ynyounuo   2015-09-19 18:05:01 +08:00
    @sobigfish
    并不认为是原作者本身以个人意愿发出的。
        90
    CRH   2015-09-20 08:46:28 +08:00
    @cxz 在未越狱设备上, iOS 7.1.2 及之前有这么个漏洞可以拿到 Apple ID
    http://bobao.360.cn/learning/detail/314.html

    这里有整个钓鱼过程的 POC ,不过我没看懂作者是怎么在 iOS 8.1.3 上拿到 Apple ID 的。。
    http://drops.wooyun.org/mobile/4998
    http://appsrv.cse.cuhk.edu.hk/~mzheng/paper/ASIACCS2015IOS.pdf
        91
    flicker317   2015-09-22 08:58:28 +08:00
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   2195 人在线   最高记录 2466   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.7.5 · 74ms · UTC 03:19 · PVG 11:19 · LAX 20:19 · JFK 23:19
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1