V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
killpanda
V2EX  ›  iPhone

似乎不只是网易云音乐中招了

  •  2
     
  •   killpanda · 2015-09-18 14:16:39 +08:00 · 10408 次点击
    这是一个创建于 3339 天前的主题,其中的信息可能已经有所发展或是发生改变。
    从 Twitter 上看到的

    34 条回复    2015-09-18 22:54:12 +08:00
    pi1ot
        1
    pi1ot  
       2015-09-18 14:17:28 +08:00
    今天好热闹
    ibremn
        2
    ibremn  
       2015-09-18 14:19:38 +08:00
    越发恐怖了。。

    其实想想这是的源头就是 Xcode 下载慢,为什么呢?呵呵
    RobinCheng
        3
    RobinCheng  
       2015-09-18 14:23:14 +08:00
    想知道泄露的是些什么东西?
    chengzhoukun
        4
    chengzhoukun  
       2015-09-18 14:26:01 +08:00   ❤️ 2
    @ibremn 天朝离地球太远😏
    wbolor
        5
    wbolor  
       2015-09-18 14:28:11 +08:00
    试试豆瓣阅读。。。
    sdd11
        6
    sdd11  
       2015-09-18 14:52:38 +08:00 via iPad
    这是什么 twitter 客户端?
    killpanda
        7
    killpanda  
    OP
       2015-09-18 14:53:51 +08:00
    @sdd11 Tweetbot for Mac
    laoyur
        8
    laoyur  
       2015-09-18 14:57:27 +08:00   ❤️ 1
    扯什么黑苹果的人纯属为喷而喷
    我是 iMac ,照样中招
    当然,要说我安全意识不够高的话,我虚心接受教训
    但归根到底,谁是背后的最大的毒瘤?谁给了这黑产得以滋生蔓延的土壤?
    mrlawrence
        9
    mrlawrence  
       2015-09-18 15:42:37 +08:00 via iPad
    @RobinCheng 最新消息是:注入某代码会弹框诱骗输入 iCloud 密码。一般是手机用户使用该应用数据。
    v2what
        10
    v2what  
       2015-09-18 15:57:38 +08:00
    挺聪明的脑子不用在正道上,背后的毒瘤更是推波助澜。
    msn1983aa
        11
    msn1983aa  
       2015-09-18 16:02:14 +08:00
    开了两步验证、 icloud 上没照片,应该没事,谴责挂马的人!拖出去枪毙 100 次
    RobinCheng
        12
    RobinCheng  
       2015-09-18 16:02:34 +08:00
    @mrlawrence 我最近就真的经常弹框输密码 然后账户还被 disable 了
    mrlawrence
        13
    mrlawrence  
       2015-09-18 16:44:54 +08:00
    @RobinCheng 嘿嘿嘿嘿嘿
    KillPaul
        14
    KillPaul  
       2015-09-18 16:54:21 +08:00
    小白有个疑问,这些应用是因为用了不干净的编译软件制作所以有问题是吗?但是它们还是通过官方的 AppStore ,安装在未越狱的 iOS 系统上,这样还能像楼上说的那样弹框诱骗输密码什么的?
    GeekCat
        15
    GeekCat  
       2015-09-18 16:56:40 +08:00
    @KillPaul 所有操作都是没有违背 app 沙盒机制,所以对于审核来说可以通过。。。。。
    DaZuoo
        16
    DaZuoo  
       2015-09-18 18:20:02 +08:00
    @GeekCat 那反过来说,要是有人特地去做这样的事情做成各种正常的 app ,也能成功上架到 AppStore 咯?! 好可怕!
    groot
        17
    groot  
       2015-09-18 18:48:28 +08:00 via iPhone
    我就想知道会泄漏哪些数据。没有越狱,应该只是这个 App 自己的数据吧?
    laoyur
        18
    laoyur  
       2015-09-18 18:53:49 +08:00
    @DaZuoo 正常 app 只能拿自己沙盒的数据,访问媒体库等隐私资料的时候,系统会弹框询问用户是否授予权限,所以正常应用没那么容易偷隐私数据
    mornlight
        19
    mornlight  
       2015-09-18 18:55:09 +08:00
    @groot 理论上,这个 App 可以获取到的数据它都有机会获取到。没有越狱的机器因为沙盒存在,它拿不到其他 App 和系统的敏感信息。但是像某些文章里推测说的,它可以假装弹一个 view 让你输入 iCloud 密码然后获取密码。
    raincious
        20
    raincious  
       2015-09-18 18:55:39 +08:00
    @laoyur

    然后用户就会点“同意”。

    别把用户想的太高级,哈哈哈哈……
    groot
        21
    groot  
       2015-09-18 19:02:55 +08:00 via iPhone
    @mornlight 仔细想想,其实无所谓了,都不知道泄漏多少次了
    echo1937
        22
    echo1937  
       2015-09-18 19:04:34 +08:00
    @ibremn 我昨天刚刚 MAS 下载 Xcode 7 ,速度很快啊,浙江电信 50M 家用宽带。
    lawdoge
        23
    lawdoge  
       2015-09-18 19:41:03 +08:00
    真的。。。仔细想想,嘀嘀打车, 12306 这些应用其实都挺 low 的,网易云音乐可能看上去还可以,但也是网易这流氓公司的(刚开始靠抓虾米的音乐源起家
    Quaintjade
        24
    Quaintjade  
       2015-09-18 20:12:34 +08:00 via Android
    @lawdoge
    如何证明网易是抓虾米的音乐源而不是第三方呢?虾米许多资源也都是来自第三方资源站,同样是靠偷别人分享的资源起家的。
    lawdoge
        25
    lawdoge  
       2015-09-18 20:20:46 +08:00
    @Quaintjade 不敢说多少,彼时虾米已经有相当一部分资源是正版了,网易云音乐成立之初虾米在微博上有过很明确的指责,至于证明,这不是我要做的事情啊,我只是指出这个事情而已,可以推测虾米在公众平台发声肯定是有证据的。
    再说你的反驳,如果用虾米抓的资源也有来自第三方来为自己洗白,那么虾米也可以继续追究上一个抓资源的人的责任为自己洗白了是吗,这是非常可笑的逻辑。
    KillPaul
        26
    KillPaul  
       2015-09-18 20:45:38 +08:00
    @mornlight
    @GeekCat 所以是说任何 App 都可以弄出个弹框诱骗输入密码这样的东西?那我们平时看到的那种要求输入苹果账号的密码的弹框,如何确认它的安全性呢?
    onevcat
        27
    onevcat  
       2015-09-18 20:50:44 +08:00
    @KillPaul 如果你的 Apple ID 已经是登陆状态了,叫你输入 ID 的话肯定有问题。一般来说第三方 app 只要你不来回切换 Apple ID 的话,除了内购是不会让你输入用户名密码的。内购或者下载 app 时建议开启和使用 Touch ID ,只会在重启后第一次要求输入密码。开启两步验证(不开两步验证的账号都是会丢的)可保无忧。总之就是,除了新买回来的机器以外,都不应该出现输入 Apple ID 名的弹框。
    KillPaul
        28
    KillPaul  
       2015-09-18 20:54:40 +08:00
    @onevcat 谢谢解答。不过我还是觉得 iOS 系统应该不可能会允许应用弄一个和系统自带一样的密码输入弹框出来。
    Quaintjade
        29
    Quaintjade  
       2015-09-18 21:16:11 +08:00
    @lawdoge
    当年虾米标榜推行正版时,相当一部分资源都是盗版,至少我关注的 ACG 音乐(包括 V 家)几乎都是是盗版。
    话说我没搜到虾米公众平台的声明,只搜到以下这贴。该 LZ 的所谓证据很可笑,不过 14 楼的证据有几个还算有说服力的,我觉得可以接受。
    www.xiami.com/g/thread-476727

    我没有为网易洗白的意思,不知道你的逻辑为什么这么可笑 。
    我只是想说,你说中招的公司很 low 毫无意义,因为国内的互联网公司几乎都 low 。
    像上面那贴,网易云音乐 13 年 4 月上线, 13 年 6 月已经不从虾米抓了(不过应该仍在从其他地方抓)。而我上面说虾米一边标榜正版一边大量盗版是 2012 年以后,已经诞生几年了。所以这些公司都是 low 的,说不上谁比谁更 low 。
    onevcat
        30
    onevcat  
       2015-09-18 21:17:04 +08:00
    @KillPaul 自带 Apple ID 的弹框比较麻烦,需要用到一些漏洞, iOS 8.2 和之后暂时已经没了。但是如果要弹一个用户名密码输入的框的话还是很简单的..
    alexzuo
        31
    alexzuo  
       2015-09-18 21:30:46 +08:00
    @KillPaul 其实就算是不可以直接调用原生的,也可以画一个差不多的出来。 iOS 上很多播放器调亮度的窗口和系统调声音的窗口长得很像,但是系统没有这个窗口,都是大家自己画的。
    boywang004
        32
    boywang004  
       2015-09-18 21:32:13 +08:00
    细思极恐啊。之前测试版都是从那个有问题的源去下载的,只有正式版从 MAS 下载。
    ryrubyy
        33
    ryrubyy  
       2015-09-18 22:15:15 +08:00
    @onevcat 请问一下长期不连接网络的机器弹框要求输入 ID/PW 是否正常?
    Parallel
        34
    Parallel  
       2015-09-18 22:54:12 +08:00
    @mornlight 前些时间经常毫无征兆的弹框。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2826 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:36 · PVG 21:36 · LAX 05:36 · JFK 08:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.