登陆 注册

警惕有毒的“美女”手机app

桑云信息安云 2020-04-20 安全文摘

现在手机应用十分丰富,各种美女直播app更是五花八门,层出不穷。不过这些app大多是挂羊头卖狗肉,你想想真的有那么多正经小姐姐闲着跟你聊吗?实际上装了这app不知不觉你的信息已经被盗走,更有甚者还付出了金钱的代价。

这不,随手在百度上一搜,就有人中招了。

     那么这些”小姐姐“背后是高超的技术团队吗?实际上我们都知道现在的黑灰产链条十分发达,这些骗子根本不需要自己来开发和搭建复杂的程序,自然有人来提供这些平台软件。

      笔者就在一个源码共享社区搜到了这样一个帖子:

源码介绍如下:—————————————————————————————  

安卓支持短信,通讯录,定位

IOS仅支持通讯录、定位/ 不支持短信。

      开发环境:THINKPHP5 / PHP5.6+ / MYSQL5.6+ / linux|Win通用(推荐Linux)
    标价为单后端源码价格,我们免费安装好,可以为客户提供服务器免费安装包括后端网站安装、前端苹果端和安卓端打包。苹果端打包好之后需要苹果签名,不签名是不能用的哦。安卓端可以立马就能用。

    源码适用于:金融业务型公司(当你和客人达成资金担保合作协议,在抄录其50个备用联系人的时候,直接进行读取,省去了一系列烦繁人工。)流程:客户下载APP注册登录 – 弹出询问客户是否同意读取通讯录(同意后点进入即软件就自动读取通讯录上传到后端处理,反之不同意就不能读取通讯录)     

—————————————————————————————

从这个app运行的截图来看,能看到各种大美女,确实很吸引人。

但当你装上应用,同意应用获取权限之后,可怕的事情就发生了。看管理后台的截图很清晰明了。能从图中看出app回传了通讯录,位置信息,甚至短信。

 

由于权限控制的特性不同,安卓版本可以回传短信,而苹果IOS的版本不能回传短信。我们可以想象,如果受害人是安卓手机,除了自己的通讯录不保,还极有可能面临金钱的损失。因为短信也会被回传到后台。不过不管安卓还是苹果版本,只要用户选择权限同意, 通讯录和位置信息都可以回传回去。所以还是十分危险的!


源码作者提供的服务也是一条龙的, 从编写到打包签名,到后台搭建,十分贴心。因为大家对安卓应用比较熟悉,我们在这介绍一下苹果应用的签名机制。因为苹果和安卓的安全机制不太一样,安卓应用只要打包后就可以直接用,苹果IOS还要正确签名才能使用。

大家对安卓apk都比较熟悉了,那么我们这里再介绍一下苹果ios应用的结构和打包签名。

一、IPA文件结构

IOS的APP后缀为IPA(iPhoneApplication)的缩写。

ipa 文件实质是一个 zip压缩包,(参考https://www.jiansh.com/p/c33db8e95e6d)ipa解包如图所示:

其中 Payload 文件夹不可缺少,包含 .app 文件夹,.app 中最主要的几类文件有:

  • Info.plist :存储应用的相关配置、Bundle identifier 和 Executable file 可执行文件名

  • 可执行文件:Info.plist 中 Executable file 记录的名字所对应的文件。该文件主要用于分析。

  • Frameworks:当前应用使用的三方 Framework 或 Swift 动态库

  • PlugIns:当前应用使用的 Extension

  • Watch:手表一起使用的应用

  • 资源:其他文件,包括图片资源、配置文件、视频/音频,以及一些与本地化相关的文件

由于 zip 包不能记录权限和所有者等信息,所以苹果规定了 ipa 的安装方式,即全部 ipa 都会解包安装在 /var/mobile/Applications 目录下,全部文件和目录的所有者及用户组均设为 mobile(ID 为 501),主程序(可执行文件)的权限设为 0755 (所有人都可以执行,但只有所有者可以修改),可执行文件在 plist 中定义。全部目录权限设为 0755,而其它所有文件都设为 0644(仅所有者可以修改,其余人只允许读取,全部人都不允许执行)。

ipa 解包后并非直接放置于 Applications 目录下,而是放在一串由随机码构成的目录下,其作用在于,只允许这个软件运行在一个特定的沙盒(Sandbox)中,不能干扰其他软件。因此那串随机码目录下,除了 ipa 本身的三个组件之外,还有三个目录:Library,一般是用了储存设置文件等数据;Documents,存储数据,多用来保存存档;tmp,临时文件夹。

由于这个软件只能在这个特定的目录下运行(部分程序会调用系统的通讯录、相机等组件,但仍然是受限制的),从而保证了整个系统的安全性和稳定性。

二、苹果开发者账号

要签名苹果应用就必须用到开发者账号。苹果开发者账号分三种:个人开发者账号($99/年)、公司开发者账号($99/年)、企业开发者账号($299/年),

1.个人开发者账号

申请速度开,可以上架至AppStore供全世界的人下周,缺点上架AppStore需要审核

2.公司开发者账号

可以上架AppStore,供全世界的人下载,但是缺点也是需要申请,注册需要申请邓白氏码(如何申请https://jingyan.baidu.com/article/c910274b8a984fcd361d2d83.html)

3.企业开发者账号

开发的App不需要经过苹果公司审核就能安装到App,缺点是申请非常难,国内现在更是难申请。

这三种账号都可以用来开发APP,不同点在于对外发布APP的方式,个人开发者账号和公司开发者账号只能发布APP到苹果商店,经过苹果审核人员漫长而苛刻的审核通过后才能出现在App Store被用户搜索下载。

企业开发者账号是不能发布APP到App Store的,但苹果允许企业账号签名的APP可以直接发布APP,无需经过苹果审核,签名后生成一个新的安装包,然后传到分发平台供所有iPhone用户下载安装。

这种发布方式,可以绕开目前苹果严苛的审核政策,不管是APP的规模性测试,还是大规模的测试运营,都需要一个企业级开发者账号。目前企业账号很难申请,通过普通大众公司的资质很难申请的下来。所以有些公司就把自己手里的企业开发者账号提供给一些应用进行签名,也就是所谓的签名商。

三、IOS的APP签名打包


IOS的APP签名打包流程可以分为两种方式:

1、原生APP项目:如果是原生APP项目,首先ios开发人员需要在xcode中,点击archive然后直接导出ad hoc格式的文件夹,里面会有几个文件,直接将ipa文件发给签名商,签名商进行重签名操作后,将ipa上传到分发平台就可以供用户下载了。

具体步骤可以参考:分享一个企业版证书打包发布app教程 https://www.jianshu.com/p/f2287d02bc50

2、网站打包项目:利用dcloud以及apicloud或者其他第三方网站封装服务商进行代操作,一般需要用到网址、APP名字、LOGO、启动图等内容,生成的app体验效果其实跟浏览器打开网站差不多,但是在经过相关的优化以及第三方定制服务的加持(包括VPN、推送、三方支付、标题栏、导航栏、下拉刷新、左滑后退等功能),也是能够达到近乎原生APP的效果的。同样,将网站打包生成的ipa文件发给签名商,重签名操作后,将ipa上传到分发平台就可以供用户下载了。

好,知道这些小姐姐的app怎么炮制出来的了吧!疫情期间好好学习,千万不要头脑一热中招哦!

扫码关注本号

文由网安杂谈

生成海报
请发表您的评论
桑云信息安云

桑云信息安云

乐山桑云信息技术有限公司专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
247文章数 0评论数
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net