逆向工程解析苹果iOS下架奇虎360超过 20 款软件的原因!
- fttb888转帖
根据外媒 macnn 的消息,苹果已经将奇虎360几乎所有的 iOS 应用(总共超过 20 款)从 App Store 下架,原因是滥用 iOS 生态系统。奇虎此前曾多次因为系统滥用问题而遭到苹果的惩罚,比如说使用非官方的 API、提供没有价值的应用、试图操纵 App Store 应用排名等。
国内这几天真热闹,上周刚回到硅谷这边,这周陆续跟同事聊360的事,发现大家集中有两个话题,一个是360的隐私问题,另一个是如何对苹果APP的审核更加小心谨慎。
这边有几个高手这几天业余时间看了看360 APP的代码,大家开会时讨论用,结果就发现尴尬的地方了,360手机卫士和电池医生至少这两款APP存在各种各样侵犯用户隐私的行为,但是代码做得很巧妙,不得不佩服360在这方面挖空心思。
我把同事的一些研究成果集中在这里,一些图片稍微处理了下。
非法读取用户的iPhone上安装了哪些APP
请注意,这里的代码取自APP Store版的360手机卫士和360电池医生。从代码可以看出,它在非法访问获取用户这台iPhone中已经安装了的APP信息。360你读这个信息干嘛?我装了什么APP,管你什么事?
我想问问360:一台iPhone,用户到底装了哪些APP,这算不算隐私?
非法阅览用户的照片和音乐文件夹
如果说你读取我装的APP信息算是隐私还有点矫情,那你到底为什么读取用户iPhone的照片和音乐文件夹?你是不是有嫌疑把用户的艳照拿走?
非法获取系统进程资源信息
以下是另一位同事拿到的APP Store版360手机卫士部分代码,代码显示360正在获取系统进程资源信息。这个基本上说得过去,但这是苹果APP Store严禁的行为。
下面来总结一下,我试图用最严密的逻辑来推导一下:
A、360读取上述所有信息,都是苹果不允许的,属于开发者的违规行为,苹果见一次踢一次,见两次踢全家。这在所有的APP中,极其罕见。
B、360读取这些不必要的信息的动机是什么?恐怕只有360自己知道。这家公司在隐私窃取和泄露方面是有前科的。前年连Google快照里都有360的上传的隐私信息,用户的账号密码都有。那次事件触动了Google员工,这次事件触动了苹果员工,360真牛。
C、抛开动机和阴谋论。360读取这些不必要的信息,是完全具备窃取隐私的能力的。
这就好比一个惯偷,他以前偷过东西,现在他跑到你家里去了,你觉得,你是不是有理由怀疑他又一次在作案?所以,我强烈质疑,360在其APP中有窥探、窃取用户隐私的嫌疑。
我想说的是,这次360事件肯定在苹果乃至整个硅谷APP开发圈都造成了影响,今后中国的开发兄弟们一定要多小心谨慎,偏见的产生在所难免,尤其是看了以下的代码后,你会觉得中国人的那点小聪明基本都集中在360身上了。
另外我坚决不会向身边的亲朋好友推荐360任何东西,这家公司从PC到手机的记录,从3721到360的记录完全不值得任何信任,就像希特勒能力是很强,但是你能信任他能给你任何福祉吗?
最后补充下,这些APP如360手机卫士在APP Store的最后一次更新是1.81版本,而360又明确在公告中说了“360产品无需做任何修改,将在未来48小时到72小时内重新上架苹果APP商店”,等360上架的时候,可以分析一下,360到底有没有改动过,呵呵,很简单,看看ipa就知道了。
当然,如果是这个结果,我又会对苹果的APP审核机制产生新的忧虑。 - fttb888
- joachim这个是汇编语言吧,好久没见到了,快忘光了
- birdie这是去年的事了。楼主挖出来是何居心
- fttb888我是刚从另一BBS看到的,好心转过来,而且是在第一页,后来搜索到其他网站才发现是一年前的。何况此事知晓率还很低吧!
- BlackGodobjc反编译的
- godzillaqqq金山喷了
- 夕雨这图是上次下架的事故吧 很久的事情了
- soloyu年娇处,村通电,欢迎楼主火星归来
- bypozgoogle啥时候能学学苹果?
- ja0309楼主是个360黑:D
给你5毛 拿好滚 - 卡哇伊撕内裤看了半天,还是没明白360为啥要干这些?
如果连动机都搞不明白,还分析个毛啊 - Zhen_Linktg竟然还有360青
- 美脆皮猴们不是高喊自由嘛,干嘛要学水果封闭
- 罗克萨斯这是北大青鸟还是蓝翔毕业的工程师?
- 无印凉粉google play的基本上都是基于用户自己投诉的
不过也比其他91 豌豆荚什么好得多
最简单的一个例子,play官方的tiny flash手电筒app是没有内置百度广告的,换到91 豌豆荚 新浪的下载站里就内置的百度push,每天收到N条垃圾广告推送 - Windows就冲这点支持苹果,安桌就是没隐私病毒横行
本帖最后由 Windows 于 2013-3-1 23:14 通过手机版编辑 - 億万千对了,安卓用新浪微博,提示获取用户手机号码,干啥的?
- chunhan获取通讯录一般是为了分享和社交的邀请
用微博可以邀请人来开通,或者干脆根据通讯录给推荐关注列表
挖用户数据是很常见的行为,怎么评价就看是不是挖自己app的数据还是挖手机的上的所有数据,以及挖数据的时候是不是提醒了,这点水果比猴机好太多 - SONY皇帝最近玩了玩NOTE2的游戏,第一次接触手机快餐ios,只能用无聊来形容了~~看来传统的电视游戏已经根深蒂固了~~
- godzillaqqq企鹅山寨之本
- fttb888数据挖掘与分析,好高深啊!
- yangwenli每天上TG各种百度推送广告最近怎么少见喷了?:D
- cf3b5我说搞笑吗?
360本来就是干这事的啊,要不怎么叫手机卫士?
这和请一个保镖,却不许保镖跟着自己有什么区别? - 如何因为浏览器都自动屏蔽掉了,看不到吧。
- 飞鱼清风因为app store不允许存在保镖。你的比方应该改成想叫个小时工结果发现来了个全副武装的自称是特工的持枪巨汉。
- 骨法你请个保镖看你嘿咻?
- eos反编译啊。这东西没有注解基本没法看了吧。
- nlkbx系统安全软件要查你装了什么APP不是很正常吗
- 利露360还需要黑?
- madobenanami反正打死不用360就对了
- 玩NDS的穷人楼主是索饭,鉴定完毕!
- sunner不是说有ios有沙盒么?所有程序未经授权不能访问其他的程序,为毛360可以?
- handsomeken我有个疑问:
首先这个玩意儿是个安全软件
安全软件要了解设备上安装了哪些软件是否属于正常行为? - handsomeken那也可以,不过这样苹果本来就不应该允许任何安全类软件上架啊。
- Nothing逆向工程能逆向出代码的注释?
- cnethack当然不行
具体操作没弄过,不过看图那几个圈出来的地方都是定义的常量 - Nothing汇编里的分号是什么意思?
- zerocount你保镖看你银行卡密码你给看吗?
- handsomeken就以主贴的内容来说,这保镖看你密码了?
- kirbyx抬什么杠啊。无论什么保镖,无论要了解什么,他首先要跟我说经过我的允许。没我的允许他就不能干。
- handsomeken喷了,你装杀毒软件的时候还设置哪里能扫哪里不能扫?那你装它干嘛?
- 仲晓萌杀毒软件还的确是能设定。
你360的人吧?