这是一个创建于 3345 天前的主题,其中的信息可能已经有所发展或是发生改变。
那么其他助手类应用是否也在之前干过其他类似的事情?
尤其是记录他人 appid 下购买的应用然后给另外的人使用这种事儿肯定需要获取大量相关信息。
91 条回复 • 2015-09-22 08:58:28 +08:00
 |
1
panlilu 2015-09-18 17:45:53 +08:00
感觉十有八九
|
 |
2
learnshare 2015-09-18 17:46:36 +08:00
之前麦芽地不是干这个么
|
 |
5
laoyur 2015-09-18 17:55:56 +08:00  1
感觉这事后续还会很精彩
百度盘上发布 xcodeghost 的人叫 coderfun ,发布帖链接: http://www.swiftmi.com/topic/259.html 这个帖已经被 swiftmi 的管理员删掉了,可谁知道删帖的真实目的是啥呢,对不? 以下是快照内容: http://webcache.googleusercontent.com/search?q=cache:QGX2XZaxIJkJ:www.swiftmi.com/topic/259.html+&cd=1&hl=zh-CN&ct=clnk 有没有大神能扒一扒 coderfun 的皮,以及,这个 swiftmi 是否也有嫌疑, coderfun 专门选择这么一个规模很小的网站来做他的 ghost 下载索引页,是不是可疑? |
 |
6
hyzjshwo 2015-09-18 17:58:05 +08:00
关注中
|
 |
7
jiezhi 2015-09-18 18:00:22 +08:00
关注+1
|
 |
8
yanwen 2015-09-18 18:06:40 +08:00
严重关注。。
|
 |
9
fanux 2015-09-18 18:08:09 +08:00 via Android
围观
|
 |
10
minvacai 2015-09-18 18:09:01 +08:00
友情提醒一句,快照也是可以删的,要快点截图
|
 |
11
Laforet 2015-09-18 18:20:39 +08:00
|
已截图 |
13
laoyur 2015-09-18 18:27:37 +08:00 4
说起来真是傻逼,我在模拟器调试过程中, Little Snitch 多次提醒我 app 访问 init.icloud-analysis ,我特么竟然一直以为这货是苹果的服务……
|
 |
14
xuxu 2015-09-18 18:28:52 +08:00
http://weibo.com/chengxuyuanyoumo
跟这个微博有关系? |
 |
15
xieweizhi007 2015-09-18 18:29:20 +08:00
@laoyur 我也是
|
 |
16
ynyounuo OP 1
@laoyur
现在有三种可能性: 1. Coderfun 是 XY 助手专门用来干这个事儿的程序员; 2. Coderfun 和 XY 助手无关,只是一个离线包分享者,不小心从非官方途径获取了染毒的 Xcode 并且一直依附于该非官方渠道; 3. Coderfun 和 XY 助手等是合作关系。 |
 |
17
DearMark 2015-09-18 18:41:44 +08:00
上面的是那个网站?
|
|
18
laoyur 2015-09-18 18:49:18 +08:00
@ynyounuo 这事已经闹两天了, coderfun 已经在第一时间把 Xcode7 正式版放上去了,说明他是非常活跃的,而他至今未现身留下任何辩解,所以 2 的可能性不是很大
|
 |
20
jun0205 2015-09-18 18:56:11 +08:00
越挖越深了,关注结果
|
 |
23
free9fw 2015-09-18 19:00:40 +08:00
https://github.com/iBcker/adcdownload 这个很可疑,正在下载的 xcode7 ,被百度云告知有可疑内容而停止下载,而后这个链接被取消了分享
|
|
25
DearMark 2015-09-18 19:02:23 +08:00
我是说查询域名信息的网站
|
|
26
ynyounuo OP |
 |
28
wzxjohn 2015-09-18 19:04:43 +08:00
高德地图也中招了。。。
|
|
30
wzxjohn 2015-09-18 19:26:22 +08:00
同步推的 贴图大全也中招了。
|
 |
31
flicker317 2015-09-18 19:29:39 +08:00
@free9fw Xcode7 也没问题, 上面的 SHA1 是对的, 不过可以的话还是在官网上下吧
|
|
32
free9fw 2015-09-18 19:36:14 +08:00
@flicker317 http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg 这才是原汁原味的官方下载链接,可以不用更新 6.4 ,再装一个 7
|
 |
33
pi1ot 2015-09-18 19:43:18 +08:00
 |
|
34
ynyounuo OP @pi1ot
- - 只有一句话有用: 稍有常识的人就应该知道,域名是任何人都可以申请建立的。 然而我想问一下,他们的免费正版应用是从哪来的?  http://www.xyzs.com/zhushou/ 该页面已经变成空白 |
 |
35
camillo 2015-09-18 20:39:42 +08:00 via iPhone
这次的事件和该助手有没有关系不敢说,助手类软件以前作恶譬如顺便刷个榜什么的那都是常事
|
 |
36
JimmyCai 2015-09-18 20:44:54 +08:00 via Android
关注中
|
 |
37
icreeper 2015-09-18 20:55:41 +08:00
xy 助手连微博评论都清理了
|
|
38
ynyounuo OP |
 |
39
realpg 2015-09-18 21:28:51 +08:00
已经技术上确认跟某个助手是一家的,不是合作关系是一家的。
我可没说是哪个助手,某个而已……我可怕他家法务…… |
|
43
realpg 2015-09-18 21:55:48 +08:00 4
@ynyounuo
没有直接证据,有三处旁证,类似指纹的东西,而且没法保存证据了……现在貌似没法验证了 当时几个技术分析的基本从旁证推断关联性了 这个问题很早我们这边的一个哥们就发现了,那时候证据链还在…… 因为吧,我这边有一个测试软件的 ipad , iphone 模式跑着一个纯本地的程序,总弹窗让输 icloud 密码,这程序就是个本地的纯本地技术辅助程序连互联网都不会连,没用任何 icloud 的 api ,怎么会弹让输 icloud 密码,而且跑在专门的测试机上根本没有任何其他软件没有越狱,然后抓包就发现了那个网址,然后就开始反向反向再反向…… |
|
45
realpg 2015-09-18 22:21:49 +08:00
@ynyounuo 不清楚具体逻辑实现。没有充分反编译程序。
我可以告诉你的是,用了感染病毒的 XCODE 编译出来的程序,没有访问 icloud 的需求的时候,会弹窗让你输入 icloud 密码,而且用户名已经给你填好了是当前用户名。 |
 |
47
Ixizi 2015-09-18 22:46:38 +08:00
流氓软件,自动添加 XY 助手的书签到 Safari !
|
 |
49
iShao 2015-09-18 22:54:46 +08:00
 )话说, 回复里如何插入图片呢, 好像不支持 markdown 语法 |
 |
52
lightforce 2015-09-18 23:12:55 +08:00 1
@iShao proxycap+ss+IDM
|
 |
53
RqPS6rhmP3Nyn3Tm 2015-09-18 23:23:02 +08:00 via iPad
这次事件大了,可能要惊动 government 了。要是能以此为契机放开网络出口就好了。
|
|
55
RqPS6rhmP3Nyn3Tm 2015-09-18 23:35:49 +08:00 via iPad 1
@WildCat YY 一下而已,要不然生活得多无趣啊
|
 |
56
qw7692336 2015-09-18 23:44:17 +08:00
|
|
58
iShao 2015-09-19 00:24:45 +08:00
|
|
60
ynyounuo OP @iShao 无论从哪里下载都要通过检验 Hash 来判断自己的文件没有被修改过呀,否则说不定官方渠道下载被劫持一样下到污浊版本。
|
 |
61
ibcker 2015-09-19 02:14:35 +08:00 1
@free9fw 后面加了文件验证的均没问题。
以前的大部分是我亲手下的,小部分是网友分享的,所以以前的不敢保证,后面的人格担保没问题 |
|
62
ibcker 2015-09-19 02:18:39 +08:00 1
|
 |
64
richardhc 2015-09-19 08:28:00 +08:00
关注中。。。
|
 |
65
wdlth 2015-09-19 08:44:55 +08:00
论 Dnsmasq 和 Hosts 的重要性……
|
 |
66
wayne1943 2015-09-19 08:52:03 +08:00
@flicker317 问下,从官网下直接跳转到 App Store ,怎么保存安装包呀?
|
 |
67
ddqp 2015-09-19 08:59:37 +08:00 via iPhone
立马联想到 360 ,觉得好亲切
|
 |
68
LINAICAI 2015-09-19 09:17:58 +08:00
妈的,感觉这事不是这么简单,因为这段时间刚好是 xy 助手兴起的日子。。。
|
 |
69
ksky 2015-09-19 09:34:41 +08:00 1
不知道立案没有。应该很容易把人找出来吧。现存的证据找人应该容易。
|
 |
72
Dashit 2015-09-19 09:53:40 +08:00
|
|
73
Dashit 2015-09-19 09:53:54 +08:00
|
 |
74
ninggu2008 2015-09-19 10:07:06 +08:00
@ynyounuo 有自带 hash 校验工具的下载软件吗?我觉得下载工具带这个功能很实用啊,好像没见过带的。
|
 |
75
ershiwo 2015-09-19 10:39:55 +08:00 via Android
@ninggu2008 火狐的扩展插件 downthemall 有 md5 和 sha1 检查
|
 |
76
nicevoice 2015-09-19 10:47:13 +08:00
难怪好眼熟的 ID 的样子,还好是做神经猫的那个鸟人,哈哈哈,别人就做个广告进去,又不会死,还盗取密码呢?以前 pconline 和那谁站点,不是全靠广告活下来了么
大惊小怪。 |
 |
77
sunyang 2015-09-19 10:56:23 +08:00
我去 369 不会又投资了吧?
|
|
78
LINAICAI 2015-09-19 10:59:09 +08:00
网易这类 app 多少用户啊,通过 xcode 植入的木马传播的速度简直不谈了,收集的用户数据那时千万级别了吧,具体收集了什么数据,人家告诉你,你信吗
|
 |
79
mornlight 2015-09-19 10:59:54 +08:00
@ninggu2008 Mac 下自己开个终端就可以了, shasum 和 md5 这两个命令
|
 |
80
andychen20121130 2015-09-19 11:05:50 +08:00
只用官方 APP store 下载
|
 |
81
sobigfish 2015-09-19 11:29:39 +08:00
@iShao cat /etc/hosts | grep adcdownload.apple.com
203.69.138.* adcdownload.apple.com AKAMAI 有很多服务器啊,用 ping 工具 /nslookup 找 tw kr jp 的服务器啊 |
|
82
sobigfish 2015-09-19 11:39:51 +08:00 1
|
|
83
ninggu2008 2015-09-19 11:47:56 +08:00
@ershiwo 迅雷、百度云最应该增加。遇到过下载下来 md5 不对
|
|
84
ninggu2008 2015-09-19 11:48:55 +08:00
@mornlight 用的 windows 。再说,哪有在下载工具加个按钮,甚至下载完自动计算方便啊。
|
 |
85
LoliconInside 2015-09-19 12:09:05 +08:00
@BXIA 想太多, ZZ 高于一切,哪怕国内 iOS 和 Android 全面沦陷都不能开放互联网。
|
|
87
ershiwo 2015-09-19 13:11:09 +08:00 via Android
@ninggu2008 他们的用户体验已经可以吃屎去了,皮肤再好看有个屁用。在人家眼里这算不上下载的核心功能吧,毕竟小白和普通用户不会注意那么多的。
|
 |
88
asca 2015-09-19 13:14:13 +08:00 via Android
是不是 pp 助手?
|
 |
90
CRH 2015-09-20 08:46:28 +08:00
@cxz 在未越狱设备上, iOS 7.1.2 及之前有这么个漏洞可以拿到 Apple ID
http://bobao.360.cn/learning/detail/314.html 这里有整个钓鱼过程的 POC ,不过我没看懂作者是怎么在 iOS 8.1.3 上拿到 Apple ID 的。。 http://drops.wooyun.org/mobile/4998 http://appsrv.cse.cuhk.edu.hk/~mzheng/paper/ASIACCS2015IOS.pdf |
|
91
flicker317 2015-09-22 08:58:28 +08:00
|
Select Language