恐怖啊,为了安全,请 越狱用户/开发者 预防360产品

By hidden at 11 小时前, 4119 次点击

由于这阵子有个别用户说访问我软件会闪退,于是就联系他们调试,结果发现卸载了360省电王就正常了, 于是我就装了个360省电王测试。 当我发现问题的时候那个恐怖啊。

由 于我需要对一些隐私数据加密, 加密使用了网上通用的NSData+AESCrypt。 调试的时候发现代码中的NSData的AES256EncryptWithKey里面的代码没有执行,应该是被360省电王给接管了。 然后返回了nil,我没预期这个nil,所以程序崩溃了。

可能的后果:接管 AES256DecryptWithKey:key 意味着360省电王可以获得你的加密key。 那么你通过加密存在NSUserDefaults里面的数据无条件的给暴露了。。

由于好久没用windows,一直不知道360都干啥了,现在才意识到什么叫无底线。。。

好吧,如果你是用户,果断卸载。 如果你是开发者,改掉key,改掉AES256DecryptWithKey函数名。

17 回复  |  直到 2012-08-27 10:04:04 AM
    1

kran   10 小时前

坚决无差别抵制360一切产品
    2

grant   10 小时前

360省电王的意思就是卸载了360就能省点了,是不是这个道理

lz的软件是什么

    3

HJin   10 小时前

有没有其他的iOS开发者也来证实一下LZ所描述的是否属实。
不过不管是真是假,还是那句话,龙生龙,凤生凤,老鼠的孩子会打洞。XD
    4

Air_Mu   9 小时前

我擦,这些用户,买个IPHONE,却还往里面装360 这都是什么概念啊
    5

lldong   9 小时前

越狱后确实安全性会大打折扣,不过360为什么不正常正常值,返回个nil露了马脚
    6

xatest   9 小时前

从同事了解到,越狱版360安全卫士还会hook掉一些网络操作的API,导致使用到URLConnection的App会莫名Crash。我没验证过是不是真的,反正不用360的任何产品。
    7

blankwonder   9 小时前

原来用的某款越狱输入法,因为使用了 ASIHttpRequest,导致所有使用该库的应用,不能确认调用的是应用自带的库还是那个输入法的库,也会导致部分应用崩溃,但看起来应该由于开发 者粗心或者不完全了解dylib导致的,不知360是有心还是无意为之。我偏向与无意,因为这样获取用户数据的意义不大。
    8

blankwonder   9 小时前

原来用的某款越狱输入法,因为使用了 ASIHttpRequest,导致所有使用该库的应用,不能确认调用的是应用自带的库还是那个输入法的库,也会导致部分应用崩溃,但看起来应该由于开发 者粗心或者不完全了解dylib导致的,不知360是有心还是无意为之。我偏向与无意,因为这样获取用户数据的意义不大。
    9

chainkhoo   9 小时前   ♥ 1

=.-一不小心Tweet了一下 结果。。。我的手机被push爆了 感谢大家为我测试tweetbot的推送功能以及让我知道大家有多痛恨360
    10

zoverdoser   7 小时前

360还真是啊
    11

alayii   2 小时前

这货完全没有下限了
    12

Shane   1 小时前

省电 这玩意在非越狱机上毫无用处,也不可能实现。。
越狱者不是iOS开发者的目标用户,可以不理。
360这个app想来肯定接管了一些系统的东西的,不然它怎么实现节省电源。
    13

shanks   1 小时前

表示从来不用数字的任何东西。教主的为人。。。=_,=
    14

x86   1 小时前

当心数字枪文反咬你呀
    15

hidden   32 分钟前

@blankwonder 嗯,可能是无意的, 但是覆盖这个函数的意义确很大,因为可以直接获取相关的NSData和key, 把这两个数据自个儿去解出来直接就是明文,那么一般app需要加密的都是些隐私数据,比如帐号密码什么的。如果加密后的数据存在 NSUserDefaults或者通过网络获取,那么对非越狱用户照样构成威胁。
    16

hidden   28 分钟前

要证实很简单, 你先去装一个360省电王1.3版本。 http://m.360.cn/cydia/

然后使用 https://gist.github.com/1243257 这个加密方式去加密一条数据, 然后再解密看看。自个儿在 NSData的AES256DecryptWithKey方法里面log一下,看看log信息会不会出来你就知道了。

    17

hidden   24 分钟前

@Shane 系统接管得有个底线,去覆盖网上通用的方法,而且是关于加密的,这个很危险,我不相信他们不知道覆盖这个方法带来的后果。 而且覆盖加密方法跟省电没有半毛钱关系。如果他们把这个加密方法正确实现,返回我本身的数据,那么我可能永远发现不了他们覆盖了这个方法,这才是最恐怖 的。 你不知道他们还干了其他什么别的事儿。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注


Verify Code   If you cannot see the CheckCode image,please refresh the page again!