V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
itsjoke
V2EX  ›  分享发现

用网易云音乐的,你造吗? 颤抖吗?

  •  
  •   itsjoke · 2015-09-18 11:22:48 +08:00 · 12887 次点击
    这是一个创建于 3384 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2015-09-18 11:58:53 +08:00
    「根据 palo alto networks 公司爆料,被感染的知名 App Store 应用为”网易云音乐”!该 app 应用在 AppStore 上的最新版本 2.8.3 已经确认被感染。并且该应用的 Xcode 编译版本为 6.4 ( 6E35b ),也就是 XcodeGhost 病毒所感染的那个版本。网易云音乐在 AppStore 上目前的状态:」

    ===

    要的功能就是先收集一些 iPhone 和 app 的基本信息,包括:时间, bundle id (包名),应用名称,系统版本,语言,国家等。如图所示:
    第 2 条附言  ·  2015-09-18 14:03:31 +08:00
    原文评论

    「请注意!!! 注入的代码有 iOS 弹窗代码的回调 0000000000001e75 t -[UIWindow (didFinishLaunchingWithOptions ) alertView:didDismissWithButtonIndex:] 有很大可能性是盗取 icloud 密码。否则偷偷注入的密码不会随便弹窗让人发现它的存在。」
    84 条回复    2015-09-19 07:21:17 +08:00
    orvice
        1
    orvice  
       2015-09-18 11:25:21 +08:00
    「根据 palo alto networks 公司爆料,被感染的知名 App Store 应用为”网易云音乐”!该 app 应用在 AppStore 上的最新版本 2.8.3 已经确认被感染。并且该应用的 Xcode 编译版本为 6.4 ( 6E35b ),也就是 XcodeGhost 病毒所感染的那个版本。网易云音乐在 AppStore 上目前的状态:」

    不知道要不要删。。
    jokie
        2
    jokie  
       2015-09-18 11:26:06 +08:00
    啊 用着呢
    9hills
        3
    9hills  
       2015-09-18 11:29:21 +08:00
    @orvice 上传服务器已经关掉了,随便用吧。反正也上传不上去
    9hills
        4
    9hills  
       2015-09-18 11:29:55 +08:00
    哦,对了。该上传都已经上传了,现在再卸载来不及了,不如不做。。。
    supman
        5
    supman  
       2015-09-18 11:30:59 +08:00
    看来以后 不能随意授权软件 进入相册了。。

    否则我就火了
    GreyChou
        6
    GreyChou  
       2015-09-18 11:38:30 +08:00
    AppStore 上的怎么被感染的,不是网易官方的吗?
    luoway
        7
    luoway  
       2015-09-18 11:40:29 +08:00 via Android
    吓得我攥紧了手里的安卓机
    acros
        8
    acros  
       2015-09-18 11:42:32 +08:00
    中招了。
    但是现在不知道泄漏了啥信息啊···· 不要是账户密码就好 T_T
    Anybfans
        9
    Anybfans  
       2015-09-18 11:43:21 +08:00
    看来 apple store 国内访问速度不咋样啊。。要不然为什么去第三方下载 xcode...
    paicha
        10
    paicha  
       2015-09-18 11:43:34 +08:00
    噢,还是被中招了……
    shinwood
        11
    shinwood  
       2015-09-18 11:46:21 +08:00 via iPhone
    @GreyChou 网易的程序员下了不是官方的 XCode ,编译出来后就感染了,然后上架。
    itsjoke
        12
    itsjoke  
    OP
       2015-09-18 11:46:28 +08:00
    看到网易云音乐中招了之后怒删应用,再回头一想。已经晚了。。
    要的功能就是先收集一些 iPhone 和 app 的基本信息,包括:时间, bundle id (包名),应用名称,系统版本,语言,国家等。如图所示:
    laoertongzhi
        13
    laoertongzhi  
       2015-09-18 11:51:59 +08:00
    app store 靠谱点, 谁乐意去第三方下载啊~

    虽然用着 mac iphone ,但是还是觉得 app store 是坨屎!
    cyberdak
        14
    cyberdak  
       2015-09-18 11:53:38 +08:00
    @Anybfans 角度刁钻
    哈哈哈哈哈哈哈哈哈
    laoertongzhi
        15
    laoertongzhi  
       2015-09-18 11:56:14 +08:00
    @cyberdak

    真心是这样的…… ,手机连不上, mac 连不上,每次更新都难受得要死。
    cyberdak
        16
    cyberdak  
       2015-09-18 11:59:47 +08:00
    @laoertongzhi apple 怎么可能靠不住呢,一定是你自己网络的问题
    yexm0
        17
    yexm0  
       2015-09-18 12:00:22 +08:00 via Android
    apple app store 上架不是要走审核的吗?怎么过的?
    cxshun
        18
    cxshun  
       2015-09-18 12:01:10 +08:00
    @laoertongzhi 不是,是指 xcode 从非官方下载,不是应用。
    感觉评论里面说得很多,侧面证明了网易是用黑苹果开发的。
    imyip
        19
    imyip  
       2015-09-18 12:01:34 +08:00
    话说编译之后收集了那些敏感信息?
    hufozhu
        20
    hufozhu  
       2015-09-18 12:02:17 +08:00
    mac 版网易云音乐不会也有问题吧
    paicha
        21
    paicha  
       2015-09-18 12:03:21 +08:00
    @cxshun 他说的就是 Xcode 从 AppStore 更新啊……
    lyragosa
        22
    lyragosa  
       2015-09-18 12:03:48 +08:00
    我 xcode 都是在官方 appstore 下载的。应该没问题吧。
    chengxiao
        23
    chengxiao  
       2015-09-18 12:06:00 +08:00
    收集的东西应该不会太多吧 除了几个授权项(相册,好像没有访问通讯录的权限) 跳不出 IOS 的沙盒
    learnshare
        24
    learnshare  
       2015-09-18 12:06:08 +08:00
    还好 Mac 上装了 Linux...
    n6DD1A640
        25
    n6DD1A640  
       2015-09-18 12:10:37 +08:00
    赶紧删了网易云音乐压压惊
    pi1ot
        26
    pi1ot  
       2015-09-18 12:17:43 +08:00
    crisfun
        27
    crisfun  
       2015-09-18 12:21:21 +08:00 via iPhone
    侧面说明 MAS 速度天怒人怨
    laoertongzhi
        28
    laoertongzhi  
       2015-09-18 12:26:45 +08:00
    @cyberdak

    怎么可能是我的网络有问题呢,一定是大陆的网络有问题!!!
    laoertongzhi
        29
    laoertongzhi  
       2015-09-18 12:27:36 +08:00
    @cxshun

    xcode 不是 app store 里的应用么?

    糊涂了……
    sholmesian
        30
    sholmesian  
       2015-09-18 12:30:43 +08:00
    看来践行最小权限原则是不错的习惯,云音乐我都没有给其访问相册设置头像的权限。
    它收集的这些信息对于我个人来说造成的危害算比较小的了,默认这些信息都是暴露给软件开发者的。
    fxxkgw
        32
    fxxkgw  
       2015-09-18 12:31:58 +08:00
    唉 中招了 奶奶的 黄易
    laoyur
        33
    laoyur  
       2015-09-18 12:33:44 +08:00
    @ynyounuo 对,就是这个 coderfun ,我的有毒版本就是从他这里下载的
    Xcode_6.4.dmg, sha-1 是 a836d8fa0fce198e061b7b38b826178b44c053a8
    ynyounuo
        34
    ynyounuo  
       2015-09-18 12:42:12 +08:00
    @laoyur
    嗯 - - 已经全部撤掉了
    cxshun
        35
    cxshun  
       2015-09-18 12:45:05 +08:00
    @paicha 我知道那位兄弟的说法,我是指文章中出问题的 xcode 是非官方渠道的。官方渠道的 xcode 没问题。
    bugsnail
        36
    bugsnail  
       2015-09-18 12:45:07 +08:00
    /t/215100
    下载问题可以参考这里
    akring
        37
    akring  
       2015-09-18 12:47:11 +08:00
    重点是,都泄漏了哪些隐私信息
    pi1ot
        38
    pi1ot  
       2015-09-18 12:47:54 +08:00
    @akring 看我发的贴图
    xi_lin
        39
    xi_lin  
       2015-09-18 12:47:56 +08:00
    居然中招了。。
    kisnows
        40
    kisnows  
       2015-09-18 12:54:37 +08:00
    幸好没给相册权限
    gqz149275
        41
    gqz149275  
       2015-09-18 12:55:42 +08:00
    要有多少人在颤抖:D
    beimenjun
        42
    beimenjun  
       2015-09-18 12:57:43 +08:00
    网易云音乐这个事情干得真的是。
    WildCat
        43
    WildCat  
       2015-09-18 12:59:35 +08:00 via iPhone
    没人报警吗
    yangweijie
        44
    yangweijie  
       2015-09-18 13:00:40 +08:00
    osx 上的客户端没事吧
    secondwtq
        45
    secondwtq  
       2015-09-18 13:01:29 +08:00 via iPad
    美区用户不知道你们在说什么
    crab
        46
    crab  
       2015-09-18 13:07:38 +08:00
    @yexm0 估计这种行为苹果默认许可吧?
    sodatea
        47
    sodatea  
       2015-09-18 13:07:39 +08:00
    @chengxiao
    @sholmesian

    原文评论

    「请注意!!! 注入的代码有 iOS 弹窗代码的回调 0000000000001e75 t -[UIWindow (didFinishLaunchingWithOptions ) alertView:didDismissWithButtonIndex:] 有很大可能性是盗取 icloud 密码。否则偷偷注入的密码不会随便弹窗让人发现它的存在。」

    万一有伪造 iCloud 密码输入框什么的,太危险了
    Devin
        48
    Devin  
       2015-09-18 13:11:57 +08:00 via iPhone
    2.8.2 版本受影响么?
    wezzard
        49
    wezzard  
       2015-09-18 13:13:58 +08:00   ❤️ 1
    @hufozhu Mac version has memory leaking issue
    hinate
        50
    hinate  
       2015-09-18 13:20:45 +08:00 via Android
    😒看来网易下载 xcode 的速度也不怎么样啊
    robinWu
        51
    robinWu  
       2015-09-18 13:25:01 +08:00
    我看数据包,也没啥东西。。不过能上传啥东西?本身网易音乐涉及隐私的东西都很少。。通讯录?电话话吗?银行卡密码?如果是安卓手机,那就有点坑了。。
    sholmesian
        52
    sholmesian  
       2015-09-18 13:25:28 +08:00
    @sodatea 话说前段时间还真是莫名其妙老弹 icloud 密码帐号登陆提示,刚好是出差 我还以为是网络变化导致的,看来很可能是这个弹窗导致的,幸好开了两步验证,现在改密码去……
    chyiz
        53
    chyiz  
       2015-09-18 13:28:41 +08:00
    看修改过的 XCode 在 MacOSX.Platform 文件夹下也被添加的文件。但目前为止没有看到 OS X 客户端连接可疑的地址。
    hackerwgf
        54
    hackerwgf  
       2015-09-18 13:33:15 +08:00
    @sholmesian 我每次重启都弹!难道...好吧,我去卸载网易云音乐再重启试试...
    chenwen
        55
    chenwen  
       2015-09-18 13:45:55 +08:00
    看来网易上网速度不给力呀
    andyhenry
        56
    andyhenry  
       2015-09-18 14:13:31 +08:00
    @learnshare 除我之外在 v 站发现的第二个。。我日常基本不用 osx
    JohnSmith
        57
    JohnSmith  
       2015-09-18 14:16:16 +08:00
    exuxu
        58
    exuxu  
       2015-09-18 14:20:51 +08:00
    @luoway 2333
    kavi
        59
    kavi  
       2015-09-18 14:23:30 +08:00
    @laoyur 擦,我也是从那里下载的,调查他
    itsjoke
        60
    itsjoke  
    OP
       2015-09-18 14:25:12 +08:00
    @JohnSmith 挂马的已经把删除了域名解析,现在除非自己把这个域名本地劫持,不然监控是看不到了。
    BigDecimal
        61
    BigDecimal  
       2015-09-18 14:28:09 +08:00
    网易新闻会不会也有问题??
    zqxiaojin
        62
    zqxiaojin  
       2015-09-18 14:32:25 +08:00
    find /Applications/ -maxdepth 1 -iname *xcode*.app -exec ls "{}/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/" \; | grep Library

    扫描 /Applications/ 目录下所有包含 xcode 字段的 app 目录下,是否有 网上所说的 Library 目录
    最好大家都复制上面那句代码,扫一扫。如果结果里面没有 Library ,那就没问题了
    guoker
        63
    guoker  
       2015-09-18 14:38:49 +08:00 via iPhone
    窃喜中,一直提醒升级,我还在用 2.4.1
    dong3580
        64
    dong3580  
       2015-09-18 14:40:45 +08:00
    不知道安卓是不是水更深了,
    quericy
        65
    quericy  
       2015-09-18 14:42:12 +08:00
    @luoway 吓得我攥紧了手里的 WP

    iOS 树大招风,安卓一直水很深,我就不信 wp 还会有人盯上¬_¬(立 flag )
    learnshare
        66
    learnshare  
       2015-09-18 14:44:45 +08:00
    @andyhenry 因为自从更了 10.10 , Wifi 从来没好过
    andyhenry
        67
    andyhenry  
       2015-09-18 14:45:43 +08:00
    @learnshare 我的倒是没事。。 linux 下 wifi 在高峰时段倒是一直不太稳定
    Leo
        68
    Leo  
       2015-09-18 14:54:51 +08:00
    虽然很恶劣,作者的思路还是挺赞的
    r3u
        69
    r3u  
       2015-09-18 14:56:05 +08:00
    估计是网易 build 是内网, 下不了 xcode, 然后就网盘上搞了个..... 然后...
    Bown
        70
    Bown  
       2015-09-18 15:03:33 +08:00
    目前来看只是上传一些非重要数据,用还是继续用。。
    不过这个病毒传播的思路真是厉害,话说 Android Studio 是不是也有可能被这么搞。。
    Parallel
        71
    Parallel  
       2015-09-18 15:54:50 +08:00
    之前 Hours 这个应用每次打开都会弹框需要输入 iCloud 密码,如果你不输入,就每次弹框,不知是不是这个原因。
    magicolor
        72
    magicolor  
       2015-09-18 17:46:03 +08:00
    升了 ios9 还有危险么?
    e0n12uk4
        73
    e0n12uk4  
       2015-09-18 18:05:21 +08:00 via iPhone
    我就想问如果换作网易有钱怎么办?
    yksoft1
        74
    yksoft1  
       2015-09-18 18:18:35 +08:00
    @Bown 老思路, K&R 的 K 很早就写过论文说这个,还是 70 年代的事情
    zixincao
        75
    zixincao  
       2015-09-18 18:48:38 +08:00
    网易的开发者竟然不从官方下载 xcode ,真是让人惊讶!
    zhujinliang
        76
    zhujinliang  
       2015-09-18 19:07:14 +08:00 via iPhone
    @Bown android 是不是国内根本没法从官方下载,真是那样的话。。。
    NovemberEleven
        77
    NovemberEleven  
       2015-09-18 19:09:42 +08:00
    这个黑客是个人才啊
    cai314494687
        78
    cai314494687  
       2015-09-18 19:28:43 +08:00
    还好我现在不经常更新 App
    maemolee
        79
    maemolee  
       2015-09-18 21:52:41 +08:00
    @zhujinliang android studio 的确是必须爬梯子才能下到官方版本……
    hakono
        80
    hakono  
       2015-09-18 23:28:10 +08:00
    @maemolee
    @zhujinliang
    dl.google.com/dl/android/studio/install/1.3.2.0/android-studio-bundle-141.2178183-windows.exe
    谷歌的 dl.google.com 域名在国内是可以正常解析的。这个地址直接扔到下载软件里就可以直接下
    (记得别用部分下载软件的离线下载功能)
    sa2852
        81
    sa2852  
       2015-09-18 23:41:03 +08:00
    2.7.0 有无问题呢
    zippera
        82
    zippera  
       2015-09-18 23:52:02 +08:00
    公司里不是经常会有软件仓库嘛,有人下载了之后就放里面,其他需要的人就从里面找来下载,比从官方下方便。
    sixgod
        83
    sixgod  
       2015-09-18 23:55:09 +08:00
    @cai314494687 然而之前版本一样有木马。
    Slienc7
        84
    Slienc7  
       2015-09-19 07:21:17 +08:00
    幸好我用安卓
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3648 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 04:36 · PVG 12:36 · LAX 20:36 · JFK 23:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.