V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iOS 开发实用技术导航
NSHipster 中文版
http://nshipster.cn/
cocos2d 开源 2D 游戏引擎
http://www.cocos2d-iphone.org/
CocoaPods
http://cocoapods.org/
Google Analytics for Mobile 统计解决方案
http://code.google.com/mobile/analytics/
WWDC
https://developer.apple.com/wwdc/
Design Guides and Resources
https://developer.apple.com/design/
Transcripts of WWDC sessions
http://asciiwwdc.com
Cocoa with Love
http://cocoawithlove.com/
Cocoa Dev Central
http://cocoadevcentral.com/
NSHipster
http://nshipster.com/
Style Guides
Google Objective-C Style Guide
NYTimes Objective-C Style Guide
Useful Tools and Services
Charles Web Debugging Proxy
Smore
wang1986
V2EX  ›  iDev

独家工程逆向:360代码违反苹果天条铁证 欢迎有能力者验证

  •  
  •   wang1986 · 2012-02-08 16:41:06 +08:00 · 6742 次点击
    这是一个创建于 4674 天前的主题,其中的信息可能已经有所发展或是发生改变。
    35 条回复    1970-01-01 08:00:00 +08:00
    m1a0
        1
    m1a0  
       2012-02-08 17:12:20 +08:00
    被关闭了。。

    补充一个网易的
    http://news.163.com/12/0208/17/7PONGHFV00014AEE.html
    liuhang0077
        2
    liuhang0077  
       2012-02-08 17:19:17 +08:00
    看来360在国内的势力还是挺大的。。
    m1a0
        3
    m1a0  
       2012-02-08 17:22:50 +08:00
    没做过iOS开发, 懂的给解释下用这些私有函数都可以干些什么事情。
    lukefan
        4
    lukefan  
       2012-02-08 17:27:06 +08:00
    这些技术宅男,很是钦佩啊。
    holsety
        5
    holsety  
       2012-02-08 17:30:37 +08:00 via iPad
    出来混迟早要还的。。。其实苹果的策略希望大家不要做跟苹果冲突的产品。有safari了,你其他的浏览器在ios下开发,又想做好很难的。
    likai
        6
    likai  
       2012-02-08 17:30:54 +08:00
    对周先生印象不是一般的差
    aristotle9
        7
    aristotle9  
       2012-02-08 17:32:27 +08:00
    小聪明,犯了大忌。
    sigone
        8
    sigone  
       2012-02-08 17:34:50 +08:00
    这种事因素很多, 这是其中的可能性之一.
    wszf
        9
    wszf  
       2012-02-08 17:39:33 +08:00
    流氓要用什么私有接口&方法是不管3721滴
    weiming
        10
    weiming  
       2012-02-08 18:04:59 +08:00
    @wang1986 @m1a0
    写这篇文章的哥们要不是不懂,要不是混淆视听,随便查了几个“获得内容"里列出的函数,都是webview的公开函数。另外如果是因为代码的问题,360还需要修改程序重新提交苹果审核。2月2号下架今天上架,360要加班一个周末把程序改干净,最多给两天时间给苹果审核。这几乎是不可能完成的任务。所以说undocument api的原因几乎是不可能的。
    est
        11
    est  
       2012-02-08 18:10:41 +08:00
    @weiming 后面那个读用户目录文件又是为什么?
    m1a0
        12
    m1a0  
       2012-02-08 18:12:34 +08:00 via Android
    @weiming
    恩,看函数名好像好像都是一般的函数,找个api文档看看
    weiming
        13
    weiming  
       2012-02-08 18:19:28 +08:00
    @est 又看了一遍文章,没发现你说的东东
    m1a0
        14
    m1a0  
       2012-02-08 18:55:48 +08:00
    @weiming
    有看到这个了。

    m1a0
        15
    m1a0  
       2012-02-08 19:58:12 +08:00
    上面这条应该是假的
    找到一条金山的, 内容跟这个一样, 只不过是把360换成金山了。。。
    http://roll.sohu.com/20120208/n334123426.shtml
    xmbaozi
        16
    xmbaozi  
       2012-02-08 20:28:54 +08:00
    zhigang1992
        17
    zhigang1992  
       2012-02-08 20:50:53 +08:00
    @m1a0 我靠,认真一看还真是。。。
    suhetie
        18
    suhetie  
       2012-02-08 20:58:46 +08:00
    @m1a0 金山这条比那个360的晚。
    zhigang1992
        19
    zhigang1992  
       2012-02-08 21:09:43 +08:00
    @suhetie 魔高一丈呀,这事闹的。。。360就咬住金山了。
    m1a0
        20
    m1a0  
       2012-02-08 21:31:48 +08:00 via Android
    也不排除有人搅混水啊
    weiming
        21
    weiming  
       2012-02-08 21:49:49 +08:00
    @m1a0 嗯,虽然本人几年前就不再使用360和任何杀毒软件,但是这种伪造证据搅混氺的方式令人不齿。刚才appstore里看了360新上线的产品,程序更新都不是近期,说明没改过代码。
    coderoar
        22
    coderoar  
       2012-02-08 22:04:07 +08:00
    威锋那个帖子下半部分很可疑。最后一张图框出来的文字是一张SpringBoard(系统内置应用)内含的png图片的路径,他居然说这跟“非法获取系统进程资源信息”有关,我看不出这是什么逻辑。而且,如果怀疑360获取并上传了这些数据的话,只要(在模拟器中)运行应用并抓包就行了,逆向工程真是隔靴搔痒。
    jimbinc
        23
    jimbinc  
       2012-02-08 22:09:19 +08:00
    这可怜,被分析得体无完肤
    yelusiku
        24
    yelusiku  
       2012-02-08 22:41:48 +08:00
    Appstore版的程序能突破sandbox直接访问文件系统?还硅谷大拿……
    这IDA Pro的截图倒是更象国内安全公司互泼脏水……
    xilihwala
        25
    xilihwala  
       2012-02-08 23:25:33 +08:00
    这脏水泼的太没水平了,漏洞百出啊,金山也就这点水平么
    看到spotlight.png,我就乐喷了.
    x86
        26
    x86  
       2012-02-08 23:29:10 +08:00 via iPhone
    这图又不是金山发的
    whtsky
        27
    whtsky  
       2012-02-08 23:33:17 +08:00 via Android
    我很想知道那个解密字符串的源码是从哪里来的…
    wynemo
        28
    wynemo  
       2012-02-08 23:51:19 +08:00
    哎呀 真是热闹啊 360 金山的人不去拍电影可惜了
    clowwindy
        29
    clowwindy  
       2012-02-09 00:41:39 +08:00
    webkit那些私有api很多浏览器都用了(其实我也用了,苹果似乎不管的)

    主要用途是:
    获取UIWebView里面的webview(获取网页加载进度)
    _setDrawInWebThread(异步绘制网页,使UIWebView能像Safari一样平滑滚动)

    http://stackoverflow.com/questions/4060248/how-to-improve-uiwebview-scrolling-performance

    其它的读一些文件的就不清楚了,比如读/private/var/mobile/xxoo.plist
    要越狱了才可以吧,刚刚试了一下,fopen: Operation not permitted
    yelusiku
        30
    yelusiku  
       2012-02-09 09:49:20 +08:00
    @whtsky 应该是对着IDA里的反汇编写的C
    lucker
        31
    lucker  
       2012-02-09 10:34:24 +08:00
    @clowwindy 是不是可以这样理解 如果越狱用户在appstore安装了360 360就可以得到这个信息?
    wang1986
        32
    wang1986  
    OP
       2012-02-09 10:36:41 +08:00
    @coderoar 有道理哦,不过app store上下载的不能在模拟器上运行,找个iPad运行下也只能看有没有上传用户隐私信息。
    beersun
        33
    beersun  
       2012-02-09 13:53:25 +08:00
    @clowwindy 膜拜蹭蹭C
    Livid
        34
    Livid  
    MOD
       2012-02-09 17:20:23 +08:00
    有的时候,让程序试着去读取某些特殊位置的文件,如果能读到,那么说明机器是越狱的,如果读不到,那么可能是 App Store 版。这是一种很常用的检测手段。
    m1a0
        35
    m1a0  
       2012-02-09 17:47:23 +08:00
    越狱有风险啊。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3880 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:14 · PVG 12:14 · LAX 20:14 · JFK 23:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.