在2015年3月27日,2015MSS移動安全峰會在北京召開。對于各位數碼技術愛好者而言,此次峰會最為值得期待的事情莫過于@Chronic、@Comex、@P0sixninja、@Pimskeks以及國內最近風生水起的“太極越獄”團隊核心成員XN等大神悉數登場了。極客、黑客、越獄、破解這些在日常生活里聽起來就炫酷到不行的詞匯概念,今天在“太極越獄”主辦的峰會中將這些傳說般的“大神”級人物推到了國內果粉們面前,真的有一種美夢成真的感覺。
“耳聽為虛,眼見為實”,在多年來使用了各類iOS設備越獄補丁,聽聞了多年關于各路越獄大神的種種傳說消息之后,此次在MSS移動安全峰會上親眼見得本尊出現,自然不能漏過種種精彩。在會議開場之后,首先登場的就是WillStrafach了,聽到這個名字或許各位果粉會感到陌生,但若要提到Chronic,ChronicDev 團隊,綠毒這些名字,想必各位絕對會有如雷貫耳的感覺。Will大神就是Chronic Dev 團隊開發“綠毒”破解補丁的核心成員,其在iOS系統越獄破解的歷史上功不可沒。
而令人驚喜的是,除了Will大神除了在會議當中進行主題演講和QA提問之外,還當場秀了一把神乎其神的破解大法,令在座的與會者們大呼過癮。作為首次在國內舉辦的移動安全峰會,大神自然也要“接地氣”一點,Will此次在會議現場所選擇破解的對象就是國內著名的聊天交友App應用“陌陌”了。眾所周知的,在陌陌的4.10版本當中,添加了“閱后即焚”功能。“陌陌”的“閱后即焚”功能可以應用在好友間聊天和群聊,照片在顯示一段時間后機會自動消失,同時如何用戶截圖的話,照片發送者會收到提醒。不過閱后即焚這一功能的鼻祖“SnapChat”允許用戶設定照片顯示時間,而陌陌則統一讓照片顯示5秒。
“行家一出手,就知有沒有”,在Will的操作之下,“陌陌”本身的閱后即焚功能很快就被攻克,對于超過時限的截屏和圖片消息依然可以完美找回。普通用戶認為不可能完成的任務,在Will大神的操作之下則變得輕而易舉。在現場Will大神解釋了具體的破解原理,在應用程序打開之后dyld將在應用程序的二進制文件中使用‘loadcommand“向內存中載入所需的“庫”,黑客只需在應用程序(.app)中增加自己的定制動態庫就可以達到改寫簽名、破解等相關操作。
Will大神在此次峰會上當場演示破解“陌陌”的“閱后即焚”功能當然不是為了炫耀自己的技巧而是通過這樣的當場演示,向各位果粉朋友們表示在iOS平臺中,眾多App應用在信息安全封面還存在有重大的隱患,需要從業者和開發者們重視。Will表示:“應用程序只在他們自己的代碼中有安全特效,這其中就包括有短信及計時器結束之后會消失的媒介信息、對方截屏之后自動通知的防范系統等,但是這些措施并不安全,通過一些并不復雜的破解操作,黑客們就可以控制某一應用程序當中程序代碼的任意一部分”。
最后,Will大神向各位iOS系統使用者提示,絕對不要過度相信App客戶端里所謂的安全功能,在發送完消息或媒體文件之后,記住“計時器”倒計時結束之后,相關消息文件也不一定會徹底消失,不要完全相信對方對于敏感信息的截圖會收到報告等。
在先前,iOS用戶一直所關注的是系統本身安全性設置對于個人隱私信息的保護是否存在有漏洞這一問題。而在此次MSS移動安全峰會上,Will用自己的實際操作提醒大家,App客戶端內在的安全風險同樣需要加以重視。而在目前的安全產品市場上,這一領域目前還存在有巨大空缺,需要開發者和從業者在未來蘋果iOS系統相關產品的研發中來進行彌補。
(新聞稿 2015-03-27)