V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拼车信息请发到 /go/cosub 节点。

如果没有发送到 /go/cosub,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
WF
V2EX  ›  Surge

揭露 土豆丝(Pototso)、Surge、等基于 iOS9 Network Extension 开发的网络工具的 安全隐患。

  •  
  •   WF · 2016-09-08 14:45:52 +08:00 · 1029 次点击
    这是一个创建于 3000 天前的主题,其中的信息可能已经有所发展或是发生改变。

    iOS9 Network Extension 最大的特点在于: 可以接管 iPhone 上所有流量。

    所以,只要你使用 Potato 或 Surge 等软件,就可以截获:支付宝、微信、银行卡、密码、地理位置、联系人、等等所有你手机上的信息,甚至可以替换 app 里面的信息,举几个例子:

    1 、可能替换掉你支付宝里面的联系人的帐号信息,当你使用支付宝给朋友转帐的时候,其实已经转到了别人的帐户。

    2 、新闻 app 或者其他 app ,你会发现被嵌入了广告信息。

    3 、截获你的地理位置,你的工作的地方,住的地方等。

    4 、把你联系人人统统截获,当你使用 app 同步联系人等时候,会把截获你的所有联系人信息。

    5 、当你登录 app 或者其他 web 页面的时候,会截获你的帐号和密码信息。

    6 、你和别人的聊天记录,甚至私密的照片等被截获。

    只要你用了此类软件,你的手机流量就会完全被接管,个人信息就会完完全全暴露。这些软件很可能已经把截获到的所有信息偷偷上传到了自己的服务器。你用了此类软件,就相当于给自己手机里面装了一款监视器,完全没了隐私。

    虽然所谓的 Pototso 开源了。但是开源归开源,打包的时候我们并不知道是否给自己留了后门,每时每刻在同步你的个人信息。

    我曾用了一段时间 Pototso ,发现自从我用了此软件以后,电池不够用,手机发烫,最重要的是,以前一个月用 2GB 的手机流量就够了。现在 5GB 的流量都不够用。不仅仅把手机套餐流量用完了。还要花钱买流量。后来我才意识到此软件的危险性。

    所以强烈建议大家,卸载此类软件,并去苹果官方申请退款,支持 90 天内问题报告(退款地址: https://reportaproblem.apple.com),如果你说,我不在乎自己的隐私信息,那就没什么可说的了。

    用此类 app 的用户们想象是否最近被诈骗电话骚扰过,或者经常收到垃圾短息。你的信息已经赤裸裸的被这类软件接管。

    如果就是想上外网,建议使用苹果自带的 VPN ( IKEv2 , IPsec )至少能比这些 app 安全。

    12 条回复    2016-09-19 18:29:38 +08:00
    xiao201261
        1
    xiao201261  
       2016-09-18 13:50:48 +08:00
    ISP 或成最大赢家
    akw2312
        2
    akw2312  
       2016-09-18 13:54:33 +08:00 via Android
    所以說證據呢 從頭到尾都是 有可能 有可能
    一點證據都沒給出來就說人家有問題
    這跟台灣的新聞製造業有甚麼兩樣啊 2333
    然後你的流量用的比以前多你不會自己看看用到哪去了?
    一點證據都沒有
    而且如果以上幾點是真的 你這是在打 Apple 的臉嗎
    真的這麼做早就被 apple 給下架了吧

    所以說 證據呢?
    zjwpeter
        3
    zjwpeter  
       2016-09-18 14:27:30 +08:00 via Android
    https 哭晕在街上
    bugmenein
        4
    bugmenein  
       2016-09-18 14:50:02 +08:00
    虽然政府公布了所谓的水质报告,但是公布归公布,通过泵的时候我们并不知道里面是不是已经被注了毒药,每时每刻都在你的体内留下毒质

    所以我强烈建议楼主,拒绝国有企业供水,并去物业投诉拆除水管,赶快去实验室合成 H 和 O 。如果你说,我不在乎自己的身体健康,那就没什么可说的了。
    refraction
        5
    refraction  
       2016-09-18 15:55:19 +08:00 via Android
    槽点太多。。。。还是建议 lz 先了解一下什么是 https
    zhouzefu
        6
    zhouzefu  
       2016-09-19 09:26:34 +08:00
    pu....
    WF
        7
    WF  
    OP
       2016-09-19 14:25:03 +08:00
    @refraction 你没截获过 https ,我不怪你。
    akw2312
        8
    akw2312  
       2016-09-19 17:41:27 +08:00 via Android
    哇這個特意註冊來黑的帳號居然還會出現
    所以說證據呢 奇怪怎麼避而不談
    akw2312
        9
    akw2312  
       2016-09-19 17:46:23 +08:00 via Android
    還有連別人軟件的名字都沒有輸入正確就想黑...真是有趣
    所以說
    某某軟件會利用 iOS 系統 該 api 功能盜取個人資料並後台上傳至他人之伺服器 的證據呢?

    話說有啥會偷偷後台上傳個資的東西一個月給你傳 3GB 這麼多?
    refraction
        10
    refraction  
       2016-09-19 18:00:01 +08:00
    @WF WTF?
    refraction
        11
    refraction  
       2016-09-19 18:10:48 +08:00
    感觉 LZ 是来钓铜币的 全是臆想 证据也没有 也不正面回应下面的问题 不值一驳 大家散了吧 🌚
    xiao201261
        12
    xiao201261  
       2016-09-19 18:29:38 +08:00
    🌚 反正照楼主说 -> ISP 什么都能搞到->哼 土豆丝就是会****->哼 土豆丝还扔 CA root 到鸡里面(描述文件什么的做得到么。。)->哼 ssl 内容就是土豆丝就是搞得到(你个 loser|此梗来自 360)->哼 Apple 自己的协议土豆丝也能截获并且解密(罐子快去拿 Apple 的奖)->哼 我可是会手解 RSA 的()->反正土豆丝不安全->大家快去锅外吧->什么都不安全!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1077 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:51 · PVG 03:51 · LAX 11:51 · JFK 14:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.