恐怖啊,为了安全,请 越狱用户/开发者 预防360产品

2012 年 8 月 26 日
 hidden
由于这阵子有个别用户说访问我软件会闪退,于是就联系他们调试,结果发现卸载了360省电王就正常了, 于是我就装了个360省电王测试。 当我发现问题的时候那个恐怖啊。

由于我需要对一些隐私数据加密, 加密使用了网上通用的NSData+AESCrypt。 调试的时候发现代码中的NSData的AES256EncryptWithKey里面的代码没有执行,应该是被360省电王给接管了。 然后返回了nil,我没预期这个nil,所以程序崩溃了。

可能的后果:接管 AES256DecryptWithKey:key 意味着360省电王可以获得你的加密key。 那么你通过加密存在NSUserDefaults里面的数据无条件的给暴露了。。

由于好久没用windows,一直不知道360都干啥了,现在才意识到什么叫无底线。。。

好吧,如果你是用户,果断卸载。 如果你是开发者,改掉key,改掉AES256DecryptWithKey函数名。
29229 次点击
所在节点    iPhone
25 条回复
kran
2012 年 8 月 27 日
坚决无差别抵制360一切产品
grant
2012 年 8 月 27 日
360省电王的意思就是卸载了360就能省点了,是不是这个道理

lz的软件是什么
HJin
2012 年 8 月 27 日
有没有其他的iOS开发者也来证实一下LZ所描述的是否属实。
不过不管是真是假,还是那句话,龙生龙,凤生凤,老鼠的孩子会打洞。XD
Air_Mu
2012 年 8 月 27 日
我擦,这些用户,买个IPHONE,却还往里面装360 这都是什么概念啊
lldong
2012 年 8 月 27 日
越狱后确实安全性会大打折扣,不过360为什么不正常正常值,返回个nil露了马脚
xatest
2012 年 8 月 27 日
从同事了解到,越狱版360安全卫士还会hook掉一些网络操作的API,导致使用到URLConnection的App会莫名Crash。我没验证过是不是真的,反正不用360的任何产品。
blankwonder
2012 年 8 月 27 日
原来用的某款越狱输入法,因为使用了ASIHttpRequest,导致所有使用该库的应用,不能确认调用的是应用自带的库还是那个输入法的库,也会导致部分应用崩溃,但看起来应该由于开发者粗心或者不完全了解dylib导致的,不知360是有心还是无意为之。我偏向与无意,因为这样获取用户数据的意义不大。
blankwonder
2012 年 8 月 27 日
原来用的某款越狱输入法,因为使用了ASIHttpRequest,导致所有使用该库的应用,不能确认调用的是应用自带的库还是那个输入法的库,也会导致部分应用崩溃,但看起来应该由于开发者粗心或者不完全了解dylib导致的,不知360是有心还是无意为之。我偏向与无意,因为这样获取用户数据的意义不大。
chainkhoo
2012 年 8 月 27 日
=.-一不小心Tweet了一下 结果。。。我的手机被push爆了 感谢大家为我测试tweetbot的推送功能以及让我知道大家有多痛恨360
zoverdoser
2012 年 8 月 27 日
360还真是啊
alayii
2012 年 8 月 27 日
这货完全没有下限了
Shane
2012 年 8 月 27 日
省电 这玩意在非越狱机上毫无用处,也不可能实现。。
越狱者不是iOS开发者的目标用户,可以不理。
360这个app想来肯定接管了一些系统的东西的,不然它怎么实现节省电源。
shanks
2012 年 8 月 27 日
表示从来不用数字的任何东西。教主的为人。。。=_,=
x86
2012 年 8 月 27 日
当心数字枪文反咬你呀
hidden
2012 年 8 月 27 日
@blankwonder 嗯,可能是无意的, 但是覆盖这个函数的意义确很大,因为可以直接获取相关的NSData和key, 把这两个数据自个儿去解出来直接就是明文,那么一般app需要加密的都是些隐私数据,比如帐号密码什么的。如果加密后的数据存在NSUserDefaults或者通过网络获取,那么对非越狱用户照样构成威胁。
hidden
2012 年 8 月 27 日
要证实很简单, 你先去装一个360省电王1.3版本。 http://m.360.cn/cydia/

然后使用 https://gist.github.com/1243257 这个加密方式去加密一条数据, 然后再解密看看。自个儿在 NSData的AES256DecryptWithKey方法里面log一下,看看log信息会不会出来你就知道了。
hidden
2012 年 8 月 27 日
@Shane 系统接管得有个底线,去覆盖网上通用的方法,而且是关于加密的,这个很危险,我不相信他们不知道覆盖这个方法带来的后果。 而且覆盖加密方法跟省电没有半毛钱关系。如果他们把这个加密方法正确实现,返回我本身的数据,那么我可能永远发现不了他们覆盖了这个方法,这才是最恐怖的。 你不知道他们还干了其他什么别的事儿。
qifei
2012 年 8 月 27 日
装一个“国产免费”软件,为了省电?笑话。
hidden
2012 年 8 月 27 日
@qifei 现在的问题不是这个产品, 首先这产品确实有人装了,我的用户中是有好几个来反馈了,还不知道没反馈的呢。 如果这事儿是360有意为之,那问题就大了,只要360正确实现AES256DecryptWithKey方法,那么我们就不会发现这个问题。 那么谁能确保越狱机上的360安全卫士不干这事儿?那可是有很大的用户量。
hidden
2012 年 8 月 27 日
@HJin 你如果做开发的,可以测试一下,相关代码我仍出来了。 https://github.com/zzdhidden/TestAES256

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/46093

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX