新足迹

 找回密码
 注册

精华好帖回顾

· 我爱我家征文活动:悉尼的“硅谷”North Ryde/Macquarie Park (2010-9-10) patrickzhu · 沒有你还是爱你 - 林忆莲音乐之五(最终篇)2013年6月重建版本 (2008-6-21) patrickzhu
· 孩子的品格教育(交流贴),更新214楼,转帖看《射雕》,悟教育 (2013-4-1) Della · 大头家常菜 -- 虎皮酱凤爪 (2008-5-11) datou2z
Advertisement
Advertisement
查看: 4204|回复: 22

iOS比安卓更易感染高危漏洞 [复制链接]

发表于 2015-11-12 22:04 来自手机 |显示全部楼层
此文章由 ysihaoy 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 ysihaoy 所有!转贴必须注明作者、出处和本声明,并保持内容完整
从其公布的数据,iOS的系统漏洞40%是高危甚至更危险的漏洞,而Android系统这两项只占相对更少的36%。中等风险的漏洞Android仅占25%,相比iOS的32%,少了7个百分点。

在我们的印象中,苹果公司的iOS系统不仅比Android系统更流畅好用,其安全性也很高。但真的是这样么?其实只要关注下新闻,就不难发现几乎每半年就会有iOS高危漏洞曝光的新闻,而距离我们最近的就是两个月前的X-CodeGhost事件和前几天曝光的黑客可对系统进行远程越狱漏洞。

根据一份以色列Checkmarx公司最新公布的安全报告,或许苹果 Apple Store的安全性并没有大家想象的那么美好,甚至比大家一直吐槽其安全性的Android系统有更严重的安全漏洞并有更大的几率被病毒感染。

作为一家专业从事源代码安全漏洞扫描的公司,Checkmarx的工作人员对iOS上包括金融、游戏、网购等各类型的数百款常用应用进行了测试,结果令人震惊,因为就算是以安全著称的金融类应用,也还是存在身份验证出错或者泄露数据等漏洞。Checkmarx的产品经理表示其实金融类应用和其他应用没有多大区别,也并不会比其他应用更为安全。

从其公布的数据,iOS的系统漏洞40%是高危甚至更危险的漏洞,而Android系统这两项只占相对更少的36%。中等风险的漏洞Android仅占25%,相比iOS的32%,少了7个百分点。反而是低风险漏洞Android达到了39%,而iOS只有28%,难道这就是大家一直觉得iOS更为安全的由来?
Advertisement
Advertisement

发表于 2015-11-12 22:43 |显示全部楼层
此文章由 training 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 training 所有!转贴必须注明作者、出处和本声明,并保持内容完整
果粉们会不高兴的
头像被屏蔽

禁止发言

发表于 2015-11-13 11:12 来自手机 |显示全部楼层
此文章由 黛玉 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 黛玉 所有!转贴必须注明作者、出处和本声明,并保持内容完整
果粉们会誓死捍卫的,哈哈,事实在他们眼里不重要。

发表于 2015-11-13 11:46 |显示全部楼层
此文章由 jerryclark 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jerryclark 所有!转贴必须注明作者、出处和本声明,并保持内容完整
又要吵架了~~~

发表于 2015-11-13 11:56 |显示全部楼层
此文章由 anquandiyi 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 anquandiyi 所有!转贴必须注明作者、出处和本声明,并保持内容完整
系统是死的,关键还是看人怎么用。你杀毒软件防火墙装的再全,也挡不住天天随意执行来历不明的程序和浏览高风险的网站

发表于 2015-11-13 15:59 |显示全部楼层
此文章由 lingyang 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 lingyang 所有!转贴必须注明作者、出处和本声明,并保持内容完整
ios的安全犹如重兵把守的仓库,闲人免进,但它有危险大家看不到;安卓的安全犹如大街上的商店,谁都可以进,谁有小动作大家立马发现。各有优点
Advertisement
Advertisement
头像被屏蔽

禁止发言

发表于 2015-11-13 16:09 |显示全部楼层
此文章由 netstat 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 netstat 所有!转贴必须注明作者、出处和本声明,并保持内容完整
拿百分比来糊弄群众吗?100个bug,有40个高危,和一万个bug,有3700个高危,谁更糟糕?

发表于 2015-11-13 16:11 来自手机 |显示全部楼层
此文章由 waiting123 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 waiting123 所有!转贴必须注明作者、出处和本声明,并保持内容完整
各有各的优缺点, 就看你怎么用了

发表于 2015-11-13 16:12 |显示全部楼层
此文章由 hnui 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 hnui 所有!转贴必须注明作者、出处和本声明,并保持内容完整

发表于 2015-11-13 16:19 |显示全部楼层
此文章由 meljohn 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 meljohn 所有!转贴必须注明作者、出处和本声明,并保持内容完整
见仁见智,纯粹看自己的喜好。

发表于 2015-11-13 16:24 |显示全部楼层
此文章由 jacey 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jacey 所有!转贴必须注明作者、出处和本声明,并保持内容完整
我做iOS app和Android app 安全审核。都有各自不同的风险。iOS的风险来自于应用被黑,做app的公司就有危险了,API暴露,加密算法暴露,程序架构暴露,设计水平和代码水平暴露。但是对于一般应用者而言,风险不大。iOS的风险主要针对开发者。

Android的风险来自于个体的用户下载使用莫名其妙应用商店的被篡改被黑的应用。因为对开发者(包括黑客)在Android机器上的访问权限要远远多过iOS。在用户一次性核准使用权限后,应用可以随心所欲的调用用户的个人信息。而且很多知名公司误用第三方的开发包中有时会带有恶意代码。总而言之,Android的风险主要针对用户。

评分

参与人数 1积分 +5 收起 理由
LightYear + 5 感谢专业的评论

查看全部评分

Advertisement
Advertisement

发表于 2015-11-13 16:34 |显示全部楼层
此文章由 jacey 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jacey 所有!转贴必须注明作者、出处和本声明,并保持内容完整
前两天的事情。国内Android市场上的蜻蜓FM,被人发现在代码中两条函数调用。

一条“普罗米修斯”的功能是,让应用自己在后台永活, 污染自己app的用户粘度数据,为自己的app造势。用户的电池掉电很快,流量也有损失。

另一条“宙斯”功能是,自动加载广告商广告,然后自动产生点击访问,全过程隐形。用户的流量莫名其妙被偷用来增加蜻蜓FM的广告点击量。

iOS的应用发布有审查,保证用户安全的最后一道屏障。莫名其妙的第三方代码调用和网络访问会被最大程度的发现和阻止。而Android的网络应用商店纷繁复杂,没有监管。很多知名大应用也都在背后偷偷类似上述的见不得人的勾当。

iOS和Android谁安全?你自己心里有数了吧?

评分

参与人数 3积分 +9 收起 理由
Melternity + 3 感谢分享
LightYear + 3 感谢分享
axtle + 3 感谢分享

查看全部评分

发表于 2015-11-13 16:36 |显示全部楼层
此文章由 jacey 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jacey 所有!转贴必须注明作者、出处和本声明,并保持内容完整
meljohn 发表于 2015-11-13 16:19
见仁见智,纯粹看自己的喜好。

谁好用,谁不好用这事儿,确实是仁者见仁,智者见智。

但是谁更安全,这样的科学问题,可以被量化。就不是见仁见智了。iOS比Android安全除了N条街区。

发表于 2015-11-13 16:39 |显示全部楼层
此文章由 jacey 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jacey 所有!转贴必须注明作者、出处和本声明,并保持内容完整
黛玉 发表于 2015-11-13 11:12
果粉们会誓死捍卫的,哈哈,事实在他们眼里不重要。

给你看这个事实。http://www.cyzone.cn/a/20151110/283452.html
蜻蜓FM“造假门”愈演愈烈,数据造假四点疑问待回应

发表于 2015-11-13 16:41 |显示全部楼层
此文章由 jacey 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jacey 所有!转贴必须注明作者、出处和本声明,并保持内容完整
著作权归作者所有。
商业转载请联系作者获得授权,非商业转载请注明出处。
作者:小狼
链接:http://www.zhihu.com/question/37248269/answer/71603364
来源:知乎

系让知乎删除了,而且此贴已经锁定,蜻蜓FM还在不停赞下面无关紧要的垃圾评论。希望大家一起站出来抵制这种造假和疑似诈骗的行为。蜻蜓FM是一款音频app,最近我反编译了他的源代码,主要原因是最近有篇文章:不过蜻蜓FM大量的删帖很多已经死链了,太无耻!还活着的链接:蜻蜓造假黑科技新闻充满着好奇,黑科技是怎样做到的呢??蜻蜓FM是如何提高DAU,欺骗友盟,talkingdata摘要看了蜻蜓FM的源代码,先总结一下它整个的工作原理:后台偷偷启动进程,开到让用户电量飞奔的最大限度,使得神蜻蜓FM在后台永活,作为android的我终于顿悟:为嘛老子的电量老是会这么快用完。永活的蜻蜓FM,会定时地执行“普罗米修斯神逻辑”,就是狂刷每日活跃用户数,秘密就是:打开用户看不到的透明界面,即使是用户在闭屏状态,这个神界面也会打开。“普罗米修斯神逻辑”执行时会给我们公正的第三方数据公司,发“用户打开了蜻蜓FM应用”这条通知,结果,第三方数据统计里,日活又加一个。蜻蜓FM接着将他的日活数据给到投资人,看看俺的1000万DAU,比QQ音乐还牛逼,砸个几亿吧。悲催的投资人,掏出了大笔的钞票给蜻蜓FM。作为一个Android程序员,实在是看不惯这种行为,顺便提醒第三方数据公司和投资人,防止一些像蜻蜓FM这样无耻的创业公司欺骗大家。具体步骤具体听我细细道来:首先来看一下我们打开蜻蜓App之后,它在后台跑的进程的数量: 5个进程,你没有看错是5个进程!!!而且这几个进程相互守护,无法彻底杀死,十双筷子哟,牢牢抱成团。到目前为止,从来没见过一款应用会起这么多进程。为了知道他为什么要启动这么多进程,我们怀着好奇的心,反编译了蜻蜓的app。结果发现了一些很奇怪的事情。第一件事就是,他们的App代码居然没有混淆,开发人员真省事,阅读代码如同阅读源码。在我们阅读源码的时候,我们发现了今天的主角,关键进程:NotificationService manifest.xml里面注册为:<service android:name=".NotificationService" android:process=":notification">
<intent-filter>
     <action android:name="fm.qingting.qtradio.NotificationService" />
     <category android:name="android.intent.category.DEFAULT" />
   </intent-filter>
</service>
当然他也是个小强进程,无法彻底杀死!通过反编译我们发现: 第一步: NotificationService 会在onCreate方法里面调用MessageManager类的restartThread方法。而restartThread方法中会启动一个叫MessageThread的线程第二步: 我们看看神奇的MessageThread做了一些什么事我们发现一个叫"执行普罗米修斯"execPrometheus的方法,智慧之神,看名字就觉得牛逼的一腿!我们再来看看他的实现,它最后调用了一个神奇的方法doPrometheus,当然中间有一些条件判断,比如多长时间“普罗米修斯”一下,例如:最后我们来看看这个“普罗米修斯”的最后实现方法: 启动了一个ShieldActivity,当我们阅读ShieldActivity的源码惊奇的发现,这个activity居然什么事都没做,是个无界面的activity,类似透明窗口,并且2s之后销毁结束自己。看ShieldActivity类源代码那这个打开的activity什么要做这个事呢?让你触目惊心,高DAU和启动次数的神话诞生了:为了伪造DAU,欺骗umeng,talkingdata,艾瑞等知名第三方数据公司,增加虚拟活跃用户,他们智慧到了神的地步。自启动无窗口的透明activity界面调第三方数据公司的API。 为了证实这点,我还专门写了一个demo,在后台启动一个透明界面,发现umeng确实会把它算为活跃用户。今天我才发现,原来App还能这样提高自己的活跃用户,投资人的钱是这么好骗,这招确实高明,实在无言以对。对源代码感兴趣的:看普罗米修斯实现源代码蜻蜓FM是如何提高广告展示量和点击量欺骗秒针,DoubleClick摘要继续阅读蜻蜓FM的源代码,会看到宙斯类,真有点扛不住,蜻蜓FM你太逆天了,你要创造整个世界啊!不多说了,直接上菜。 既发现蜻蜓牛逼的提升日活普罗米修斯Prometheus—智慧之神后,我们发现蜻蜓又一个牛逼闪闪的服务Zeus(宙斯,牛逼的上帝,无所不能)。蜻蜓你能让我的小心脏平定一会儿吗,又是上演好莱坞大片的节奏。宙斯是蜻蜓FM用来欺骗广告主和第三方广告数据监测公司(秒针,admaster,doubleclick等)的系统:在用户的手机上会频频打开非常耗内存和电量的组件,webview—浏览器,将它设置到最小化,用户肉眼看不到。在看不到的webview—浏览器里,蜻蜓FM偷偷的打开了广告主广告图片蜻蜓FM偷偷的用户程序点击了这个广告图片将打开和点击的事件发给了第三方广告数据监测公司广告主掏腰包的时候,根据第三方数据,广告的展示量,点击数量被刷的好的离谱,连连称赞蜻蜓FM数据一级棒,点击率,转化率高,1千万花的值,下次我还找你合作哦,QQ音乐的合约免谈了蜻蜓FM老板,销售,产品,技术,投资人拿到1千万后,笑的合不拢嘴,发奖金吧,还等什么呢,这钱不就跟捡到的一样么?不知道你们这样诈骗合作方,是否睡得心安理得呢?不揭露是在不行了,我们来看看里面到底干了什么?步骤看zeus类源代码Zeus类里面主要新建了一个WebView(浏览器)对象,好像这并没有什么问题,但是你仔细观察发现,这个神奇的Zeus类,它并没有把webview对象添加到任何可见化界面上,比如常见的Activity/Fragment等。 那它为什么要在后台内存中放一个webview呢?要知道android的webview本身实现的并不好,存在大量的bug,开发过android的程序员大概都知道这点。这东西,耗电,耗内存。 继续分析,我发现两个关键函数setZeusUrl()和startZeus(),两个函数的实现如下:看到这个我都惊呆了,原来伟大的宙斯是用来在后台偷偷的打开网页链接的。打开的网页链接用户还是看不到的。那他为什么要这么做呢,对蜻蜓FM又有什么好处呢?蜻蜓FM用一个看不见的浏览器打开广告主的网站,接着用程序模拟用户行为点击。广告的展示率和点击率,顿时提高了一个数量级,原来广告商的钱也这么好骗! 看到这里,我真是佩服蜻蜓FM的老板,销售,产品,程序员,你们确实很聪明,我怎么就没想到呢?聪明的人赚钱真的很容易,违法么,不知道,我们改天都投递简历到蜻蜓吧,涨姿势。悲催的DoubleClick等广告数据监测公司都被这位亲密的伙伴蒙在鼓里,要阻止这样的流氓公司,广告主纷纷站起来说臣妾做不到啊,臣妾不给你上了! DoubleClick是美国一家网络广告服务商,主要从事网络广告管理软件开发与广告服务,对网络广告活动进行集中策划、执行、监控和追踪。随时宙斯源码阅读的进一步深入,我越来越不敢相信自己的眼睛,我们再来看看他们给第三方广告公司(比如秒针、AdMaster之类)发送数据的类ThirdTracker,同样有惊人的发现。 ThirdTracker里面有给各大第三方广告公司发送数据的代码逻辑,如下:从上图一看,各大第三方广告数据公司齐聚宙斯系统,我们和骗神蜻蜓FM一起创造世界吧。我们再来看看这些广告是怎么被蜻蜓FM触发启动的:这个方法的调用者为RootNode类的onClockTime方法(闹钟 吐槽:这位开发兄弟,你能不能不起这么直白的名字,你老板的内裤都被你暴露了),但从这个方法的名字来看,就感觉这个类有问题,是不是每间隔一段时间,后台偷偷给广告商发送数据呢?onClockTime调用者为ClockManager的dispatchClockEvent方法,如下:那dispatchClockEvent方法又是谁调用的呢?大家捂好小心脏,见证奇迹的时刻到了,宙斯也是永活的:宙斯真是名副其实,从富有的广告主那里拿到了钱,做成了完美的盈利模式。报表给投资人一看,完美!蜻蜓FM你就是明天的BAT啊!你是宙斯,你创造了中国互联网未来的“神话”,广告主和投资人就任你欺骗,任你玩,你要把中国移动互联网做成什么样的模式!蜻蜓线上最新版apk v5.0.1反编译源码教程apk不会造假的,google签名的,造假得破解google签名第一步首先我们直接用一个解压apk(开发过android应该知道apk其实就是个压缩文件),解压之后拷贝出里面classes.dex文件待用。第二步下载dex2jar工具,最新版下载链接dex2jar下载解压之后,打开cmd,进入解压目录,运行命令:d2j-dex2jar.bat classes.dex(上一步解压的) jarpath(反编译dex后的文件目录)example:d2j-dex2jar.bat c:\user\qting\classes.dex c:\user\qting\ *反编译之后,会得到一个classes-dex2jar.jar文件,待用。第三步下载JD-GUI(反编译jar神器),最新版下载链接JD-GUI下载解压之后,双击打开,直接把上一步得到的的classes-dex2jar.jar文件直接拖入JD-GUI里面,你就可以随意查看蜻蜓的源码了。Summary蜻蜓FM的Android程序员难道你们的节操都碎了么??没有节操的你们确实很文艺--普罗米修斯,宙斯,还有阿波罗,你们是神一样的团队! 史上最牛逼造假App蜻蜓FM神一般的数据造假手段,让投资人和广告主欲哭无泪,让中国整个互联网都涨姿势了。

发表于 2015-11-13 16:59 来自手机 |显示全部楼层
此文章由 linsey 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 linsey 所有!转贴必须注明作者、出处和本声明,并保持内容完整
Windows 最糟糕但我还是每天用
Advertisement
Advertisement

发表于 2015-11-13 20:05 |显示全部楼层
此文章由 meljohn 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 meljohn 所有!转贴必须注明作者、出处和本声明,并保持内容完整
我喜欢iPhone

发表于 2015-11-13 20:27 |显示全部楼层
此文章由 ysihaoy 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 ysihaoy 所有!转贴必须注明作者、出处和本声明,并保持内容完整
netstat 发表于 2015-11-13 16:09
拿百分比来糊弄群众吗?100个bug,有40个高危,和一万个bug,有3700个高危,谁更糟糕? ...

说话要有根据,不要胡说八道信口开河,否则不就是脑残粉了嘛

发表于 2015-11-13 20:28 |显示全部楼层
此文章由 ysihaoy 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 ysihaoy 所有!转贴必须注明作者、出处和本声明,并保持内容完整
jacey 发表于 2015-11-13 16:24
我做iOS app和Android app 安全审核。都有各自不同的风险。iOS的风险来自于应用被黑,做app的公司就有危险 ...

正常的人都知道应该从play下载应用

发表于 2015-11-13 22:02 |显示全部楼层
此文章由 tkoz 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 tkoz 所有!转贴必须注明作者、出处和本声明,并保持内容完整
jacey 发表于 2015-11-13 16:34
前两天的事情。国内Android市场上的蜻蜓FM,被人发现在代码中两条函数调用。

一条“普罗米修斯”的功能是 ...

谢谢专业人员解惑!

发表于 2015-11-14 01:20 来自手机 |显示全部楼层
此文章由 陈叁 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 陈叁 所有!转贴必须注明作者、出处和本声明,并保持内容完整
lingyang 发表于 2015-11-13 15:59
ios的安全犹如重兵把守的仓库,闲人免进,但它有危险大家看不到;安卓的安全犹如大街上的商店,谁都可以进 ...

安卓的安全漏洞需要各家厂商自行升级修补。不幸的是,大多数安卓手机享受不到厂商的升级修补服务。
江南有佳丽 生于帝王州 繁花未曾见 王谢纸上闻
茕茕影孑立 烟雨两凄迷 凭栏望楼台 四百寺安在
Advertisement
Advertisement

发表于 2015-11-14 13:56 |显示全部楼层
此文章由 jacey 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jacey 所有!转贴必须注明作者、出处和本声明,并保持内容完整
本帖最后由 jacey 于 2015-11-14 14:02 编辑
ysihaoy 发表于 2015-11-13 20:28
正常的人都知道应该从play下载应用


不是这样的。我们发布一个Google Play的app只要不到半小时就在线了。Google不审查应用的。除非有什么严重的信息安全问题,被举报了。在北举报之前,你可以把含有恶意代码的应用放在Play上。而且国内用户也用不了Google Play。

发表于 2015-11-14 13:59 |显示全部楼层
此文章由 jacey 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jacey 所有!转贴必须注明作者、出处和本声明,并保持内容完整
陈叁 发表于 2015-11-14 01:20
安卓的安全漏洞需要各家厂商自行升级修补。不幸的是,大多数安卓手机享受不到厂商的升级修补服务。 ...

对的!安卓的系统级漏洞就有这个碎片化的问题。

用户都在使用不同版本的Android系统。但是各个厂家没有意愿去升级一年半年前发布的系统。他们更希望继续出售新的硬件。所以,很多漏洞即使被发现,对于多数用户也是无能为力。

而iOS只要发现漏洞,90%的用户即可享受到安全升级。而多数黑客此时都还不知道这个安全漏洞。

发表回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Advertisement
Advertisement
返回顶部