V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ufjfeng
V2EX  ›  iOS

XcodeGhost 余孽未尽啊,没错 iOS QQ 说的就是你

  •  1
     
  •   ufjfeng · 2016-06-21 00:17:56 +08:00 · 6261 次点击
    这是一个创建于 3085 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天早晨收到了 IT 部门的邮件,在我的 iOS 设备上检测到了 xcodeghost ,要自带所有 iOS 设备到 IT 部门报到

    We have received notification from the IT Security department that your computer has been infected with a virus named IOS/OSX XcodeGhost Infection. Per that notification, we have quarantined your account until you have complied with the following requirements.

    You must bring all of your Apple devices: iPhones and iPads to the IT help desk located at xxx. This type of infection is only affecting mobile Apple devices. Because of the nature of the infection, you will not be able to scan the devices yourself. Please act quickly.

    报道之后 IT 小哥调出我的账号记录说是一个叫 QQ 的 app ,要我当着他的面删掉所有 QQ 才解冻账号

    我的 iOS 所有 app 都是更新到最新的,所以 QQ 也是 16.5.30 更新的 6.3.5

    45 条回复    2016-06-22 18:32:30 +08:00
    ctsed
        1
    ctsed  
       2016-06-21 00:30:57 +08:00 via iPhone
    什么公司能检测这么细致..
    ufjfeng
        2
    ufjfeng  
    OP
       2016-06-21 00:32:58 +08:00
    @ctsed 所有接入内网智能设备要装 profile 和证书。非智能设备要注册 mac 地址,所以……

    另外估计是把木马发出的连接目标放入了黑名单,发现连接就 block
    yyfearth
        3
    yyfearth  
       2016-06-21 01:48:06 +08:00
    @ctsed 现在的企业级智能防火墙之类的做到这样很容易的
    移动设备要不加入 MDM 要么注册 MAC 否则不会让进入内网的
    kawaiiushio
        4
    kawaiiushio  
       2016-06-21 03:51:28 +08:00
    喜聞樂見
    alexzuo
        5
    alexzuo  
       2016-06-21 05:59:25 +08:00
    现在苹果自己审核的时候,又不检查了?
    kn007
        6
    kn007  
       2016-06-21 07:19:42 +08:00
    严谨的公司,不错。
    Citrus
        7
    Citrus  
       2016-06-21 08:21:05 +08:00 via iPhone
    试了一下并没有在 QQ 最新版中发现相关痕迹,不知道楼主的 IT 部门是怎么检测出来的。。。
    mortal
        8
    mortal  
       2016-06-21 08:21:50 +08:00
    给你们公司点个赞~
    Tink
        9
    Tink  
       2016-06-21 08:22:21 +08:00 via iPhone
    卧槽,这公司好专业
    Mirage09
        10
    Mirage09  
       2016-06-21 08:23:58 +08:00 via iPhone
    简直了...
    ufjfeng
        11
    ufjfeng  
    OP
       2016-06-21 08:42:41 +08:00 via iPhone
    @Citrus 我也不知道具体是怎么回事,只是把我自己的经历发了出来,另外,能否顺便帮忙检测一下最新的联通手机营业厅 app ?
    anibear
        12
    anibear  
       2016-06-21 09:08:57 +08:00   ❤️ 4
    @kawaiiushio 这不是卖共享 vpn 然后跑路的 机智的阿卡林酱 么 也不说换个头像 隐姓埋名 还在这恶心大家
    taklele
        13
    taklele  
       2016-06-21 09:19:04 +08:00
    如果 qq 是从 app store 上下载的,那就是所有这个渠道的 qq 都有问题。
    不仅仅你们公司的你一个人了...
    ufjfeng
        14
    ufjfeng  
    OP
       2016-06-21 09:31:40 +08:00
    @taklele 是的我也很奇怪,但是 IT 的没有中国人,都不知道 QQ 是什么,只是告诉我是 QQ 引起的,唯一还能引起我怀疑的就是联通手机营业厅了,之前很久没运行过,前一天运行过一次,第二天账号就被锁了。其他的 app 要么非国产,要么几乎每天用
    mystryl
        15
    mystryl  
       2016-06-21 09:58:22 +08:00
    给 IT 点赞 技术不难 意识重要
    suduo1987
        16
    suduo1987  
       2016-06-21 10:11:40 +08:00 via iPhone
    akring
        17
    akring  
       2016-06-21 10:14:50 +08:00
    @ufjfeng 感觉这个的可能性更大啊
    lyragosa
        18
    lyragosa  
       2016-06-21 10:21:34 +08:00
    我草,你们公司好 tm 专业……
    panlilu
        19
    panlilu  
       2016-06-21 10:26:41 +08:00
    挺专业,学习了。
    ufjfeng
        20
    ufjfeng  
    OP
       2016-06-21 10:37:42 +08:00
    @akring 但是删掉 QQ 之后就解封走人了,等下次升级了再装回去试试吧 -_-
    akring
        21
    akring  
       2016-06-21 10:53:58 +08:00
    @ufjfeng 应该没跑了,看这个: http://www.techweb.com.cn/internet/2015-09-20/2204531.shtml ,第七条就是
    鹅厂这种大厂在安全方面还是靠得住的(除了自己作恶的部分外),反而是有国企背景的公司靠不住,因为大量开发靠外包,至于安全问题嘛,能用就行要啥自行车?
    nvidiaAMD980X
        22
    nvidiaAMD980X  
       2016-06-21 11:03:05 +08:00 via Android
    渣腾的人快出来洗地!!!蛤蛤!
    helloSwift
        23
    helloSwift  
       2016-06-21 11:03:41 +08:00 via iPhone
    还好手机里没下载 QQ
    wclebb
        24
    wclebb  
       2016-06-21 11:50:25 +08:00 via iPhone
    @helloSwift 貌似即使装了对手机不会产生危害吧?
    nvidiaAMD980X
        25
    nvidiaAMD980X  
       2016-06-21 12:06:03 +08:00 via Android
    @wclebb 监控你的所有 Apps,你说有没有危害?
    mornlight
        26
    mornlight  
       2016-06-21 13:19:42 +08:00
    不要见风就是雨,我倾向是你们 IT 部门的误报, QQ 不太可能会出这种低级问题。
    liuxl8964
        27
    liuxl8964  
       2016-06-21 15:28:41 +08:00
    @nvidiaAMD980X
    不要见风就是雨
    xcodeghost 本身没有突破 ios 的 app 沙盒,
    危害顶多 app 内部比如丢失 QQ 号
    kawaiiushio
        28
    kawaiiushio  
       2016-06-21 15:34:57 +08:00
    @anibear 我为什么要逃 我转手管你 P 事 你个扑街仔也只会像条狗一样到处乱咬
    gdtv
        29
    gdtv  
       2016-06-21 15:36:29 +08:00
    安卓联通手机营业厅 app ,被 DR.WEB 杀毒软件报毒
    benbenzhangqi
        30
    benbenzhangqi  
       2016-06-21 15:43:45 +08:00
    给你们 IT 部门一个赞
    wzxjohn
        31
    wzxjohn  
       2016-06-21 15:46:13 +08:00
    @akring 我滴妈大哥从火星来么?
    akring
        32
    akring  
       2016-06-21 15:48:37 +08:00
    @wzxjohn 这个有啥不对?
    wzxjohn
        33
    wzxjohn  
       2016-06-21 15:50:28 +08:00
    @akring 请看看新闻的日期
    hljjhb
        34
    hljjhb  
       2016-06-21 16:10:28 +08:00
    @nvidiaAMD980X 喷了,跳得不行
    magzza
        35
    magzza  
       2016-06-21 16:15:52 +08:00
    iphone 要是能控制软件的联网就好了。。。
    akring
        36
    akring  
       2016-06-21 16:45:58 +08:00
    @wzxjohn 没错啊,去年 9 月的新闻,正是 XcodeGhost 爆发的时候,联通营业厅的 APP 当时就已经列入被感染名单了,属于有前科的类型,如果楼主 IT 部门没有误报的话,有两种可能:
    1 、开发联通营业厅 APP 的团队又使用了有问题的 Xcode (人员离职交接,或者公司内部使用自己的软件库,导致新人在不知情的情况下继承了有问题的 Xcode ,或者装了有问题的 Xcode 的电脑,这在外包公司非常常见)
    2 、假设楼主长年不用联通 APP ,那么手机上的 APP 还有可能保持在之前那个还没有修复的版本(甚至联通就一直都没有修复,当然这种可能性不大),导致了被 IT 检查出问题。

    当然了,以上推测都是建立在 IT 没误报,以及假设 QQ 没有问题的基础上,建议楼主删除或更新联通 APP 后再找 IT 复查
    akring
        37
    akring  
       2016-06-21 16:49:58 +08:00
    @liuxl8964 分析来看 XcodeGhost 是可以做到弹窗的,可以用来骗取用户的 AppleID (尤其是对 AppleID 机制不熟的新用户)
    @nvidiaAMD980X iOS 上倒是无法监控其他 APP 的行为和数据, XcodeGhost 能做的主要是收集一些硬件信息,以及通过扫描查看你安装了哪些 App ,最要命的应该还是可以控制弹窗,进而诱骗用户做出危害账号安全的行为
    anibear
        38
    anibear  
       2016-06-21 17:33:53 +08:00
    @kawaiiushio 转让的意思就是把钱搂够然后跑路不管 这样恶心的托词还好意思说出来?转让之后新东家的服务坚持过 2 个月?然后杳无音讯?贴吧上有人找你退款 人家付款 95 你退人家 1 块这是你干的事吧 我做人光明磊落不像你 贴吧改昵称 然后微博改 微博改完推特改 其实也没什么 我就是提醒你把头像也换了 你就这样嘴臭 我不是来找你要钱的 就当喂狗食了 我也不是找你撕逼的 只是这种人品也能这么跳 有点不太懂这个世界 关键词: 静云 vpn
    skylancer
        39
    skylancer  
       2016-06-21 17:35:00 +08:00
    @magzza 请等 iOS 10 正式版
    iOran
        40
    iOran  
       2016-06-21 17:44:04 +08:00
    楼主啥公司,这么牛逼。感觉像思科这种巨头公司办的事儿~
    ufjfeng
        41
    ufjfeng  
    OP
       2016-06-21 22:02:55 +08:00
    @akring 昨天在 IT 删掉了 QQ ,事后删掉了营业厅又在一个手机上装回了 QQ 。还没来得及登陆今天又收到了邮件,一会还要去一趟 IT
    ufjfeng
        42
    ufjfeng  
    OP
       2016-06-21 22:07:35 +08:00
    @akring 营业厅可以确定是最新的,昨天重装了 QQ 又收到警告了,装上了还没登录
    Jerry5850022
        43
    Jerry5850022  
       2016-06-21 22:13:56 +08:00
    感觉好恐怖...

    不过贵司的 IT 部门意识还是很好的!
    mornlight
        44
    mornlight  
       2016-06-21 23:00:23 +08:00
    @ufjfeng 让你们 IT 把出发安全规则的请求拉出来看看 URL ,不然这种事根本查不清。
    nvidiaAMD980X
        45
    nvidiaAMD980X  
       2016-06-22 18:32:30 +08:00 via Android
    @hljjhb 没喷,理性思考。
    话说,你是渣腾派来洗地的吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   978 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:25 · PVG 04:25 · LAX 12:25 · JFK 15:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.