V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
iniwap
V2EX  ›  分享发现

别再黑网易了,微信 6.2.5 版本也中招了, 2333

  •  
  •   iniwap · 2015-09-18 18:24:56 +08:00 · 4568 次点击
    这是一个创建于 2442 天前的主题,其中的信息可能已经有所发展或是发生改变。

    别再黑网易了,微信 6.2.5 版本也中招了, 2333
    官方已经证实了

    29 条回复    2015-09-21 09:07:07 +08:00
    abelyao
        1
    abelyao  
       2015-09-18 18:59:12 +08:00
    刚刚手机上所有国内 APP 和部分国外 APP 都抓包测了一下,网易删了,剩下高德和 12306 还会,于是看了一下我的微信版本已经是 6.2.6 了…
    不过该传的也都被传走了… 毕竟 6.2.5 用了那么久…
    Devin
        2
    Devin  
       2015-09-18 19:03:05 +08:00 via iPhone
    微信一般会开相册权限吧。。。。
    lwbjing
        3
    lwbjing  
       2015-09-18 19:10:15 +08:00
    看了一眼微信。。 6.2.3... 幸亏我根本不鸟那些升级的提示,只要满足当前的需求,根本懒的去下载。。好吧。。其实是因为网络不好。。。
    abelyao
        4
    abelyao  
       2015-09-18 19:24:30 +08:00 via iPhone
    @Devin 这个漏洞好像不会获取相册内容之类的,也没有针对 app 去获取业务资料的逻辑
    zwl2828
        5
    zwl2828  
       2015-09-18 21:25:37 +08:00
    @abelyao 四叶新媒体联合创始人,微博用户 Saic :“拿文件看了一下,这个木马劫持了所有系统的弹窗(例如 IAP 支付),然后向目标服务器发送了加密数据,目前还不知怎么解密发出去的请求。”
    GKLuke
        6
    GKLuke  
       2015-09-18 21:56:38 +08:00
    吓得我打开了微信, 6.2.6 ,这个正常么?难道这些大公司都没有一个专门用来发布的编译机么?开发人员被 XX 就被 XX 了,发布的版本难道不是从仓库取下源码再编译发布么,这个编译发布机也这么不靠谱么。。。
    abelyao
        7
    abelyao  
       2015-09-18 21:58:34 +08:00 via iPhone
    @zwl2828 越传越玄乎,但你这都变成劫持所有系统弹窗了。首先她的分析说的是模拟 IAP 给出一个输入密码的弹窗,让用户输入密码。后来又说目前应该不能直接模拟弹窗。
    abelyao
        8
    abelyao  
       2015-09-18 21:59:47 +08:00 via iPhone
    @GKLuke 下午亲测过 6.2.6 没有向这个问题域名发送数据,如果打开 12306 马上就有数据产生。
    GKLuke
        9
    GKLuke  
       2015-09-18 22:26:55 +08:00
    @abelyao 好的好的。坐看 12306 什么时候更新
    abelyao
        10
    abelyao  
       2015-09-18 22:28:02 +08:00 via iPhone
    @GKLuke 高德地图也有哦, V2 有人转发了一份 360 公布的列表,基本上那些都会。
    LINAICAI
        11
    LINAICAI  
       2015-09-18 22:55:03 +08:00
    感觉国内顶尖科技公司也中招,我真是无语了,那么大的公司,下载个 xcode 还得用网盘的,是公司网速太慢了吗?话说我自己 12m 的网络从来都是官网下的。。。
    真不想再吐槽
    paicha
        12
    paicha  
       2015-09-18 22:59:09 +08:00 via iPhone
    6.2.5 发布了不到一天就推送 6.2.6 更新了。
    @abelyao
    @GKLuke
    @LINAICAI
    abelyao
        13
    abelyao  
       2015-09-18 23:07:43 +08:00
    @paicha 莫非腾讯自己测试的时候发现 6.2.5 有异常请求?
    paicha
        14
    paicha  
       2015-09-18 23:21:26 +08:00 via iPhone
    @abelyao 应该是发现后紧急修复了。
    9hills
        15
    9hills  
       2015-09-18 23:23:40 +08:00 via iPhone
    @abelyao 但是估计太丢人,没说出来
    Wowbeing
        16
    Wowbeing  
       2015-09-18 23:24:32 +08:00
    国内的 app 真不靠谱,支持国货真心需要勇气。
    cxbig
        17
    cxbig  
       2015-09-18 23:44:38 +08:00
    @Wowbeing 这不能把责任全部归于 App 开发者吧,你要想想为啥那么多公司都要去从第三方获得 Xcode
    cyberdak
        18
    cyberdak  
       2015-09-18 23:46:25 +08:00
    垃圾腾讯,开发 iOS 还用黑苹果? Xcode 还在百度上去下载?
    tracyone
        19
    tracyone  
       2015-09-18 23:48:15 +08:00 via Android   ❤️ 1
    这是 360 统计的,它们把腾讯微信放到第一位,哈哈哈 http://m.weibo.cn/1645903643/CB9QUisjv
    Exin
        20
    Exin  
       2015-09-19 00:53:36 +08:00 via iPad
    @cyberdak 够了够了,不要黑那个楼主了哈哈哈
    GKLuke
        21
    GKLuke  
       2015-09-19 08:10:22 +08:00
    @abelyao 没用高德地图,不知道怎么的,不喜欢用这个。
    @paicha 估计腾讯自己人发现了,或者接到消息了赶紧更新了一发。
    coolicer
        22
    coolicer  
       2015-09-19 08:37:39 +08:00
    6.2.6 会不会没事
    hoogle
        23
    hoogle  
       2015-09-19 09:18:41 +08:00 via iPhone
    @cyberdak 好黑, 在大多数公司用 Mac Mini 的时候, tx 用 iMac 已经非常良心了
    feilaoda
        24
    feilaoda  
       2015-09-19 10:28:39 +08:00 via Android
    看了一下微信,艹, 6.2.5 ,中招了?赶紧点升级,矣?没有新版本?

    哦,我是 android
    Delbert
        25
    Delbert  
       2015-09-19 11:08:54 +08:00 via Android
    @LINAICAI 没法确定他们一定是从百度网盘下载的。运营商有缓存,下载工具有加速。你直接浏览器官网下载同样可能中招。运营商级别的缓存你也没办法。
    LINAICAI
        26
    LINAICAI  
       2015-09-19 12:14:03 +08:00
    @Delbert 你意思是那些助手和运营商合伙一起开黑咯?
    死掉算了,这算个什么世界。。。
    Delbert
        27
    Delbert  
       2015-09-19 14:33:20 +08:00 via Android
    @LINAICAI 你不知道运营商会缓存?为了节省网间流量和国际流量,缓存能省好多钱……小到某个页面 杀软病毒库,大到整个软件镜像……
    deadEgg
        28
    deadEgg  
       2015-09-20 01:10:34 +08:00
    我不是针对在场的哪个 app,我是说每一个 app 都是垃圾

    2333333333
    iniwap
        29
    iniwap  
    OP
       2015-09-21 09:07:07 +08:00
    @deadEgg 有图贴
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2561 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 15:40 · PVG 23:40 · LAX 08:40 · JFK 11:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.