微信双开是定时炸弹澳门美高梅手机网站?关于非越狱iOS上微信分身高危插件ImgNaix的分析

一、 “倍推微信分身”初探

 

这一次要分析的成品名字叫”倍推微信分身”,能够兑现非越狱iOS上的微信多开。那几个app的安装是通过itms-services,也就是商家证书的装置格局开展设置的。服务器是架在59os.com。可以观察除了微信分身以外,还有很多另外破解应用提供下载:

澳门美高梅手机网站 1

 

app安装完后的图标和微信的一模一样,只是名字改为了“倍推微信分身”: 

澳门美高梅手机网站 2

 

下载完倍推微信分身,并登陆后,可以看到首页与原版微信并没有太大的变通,只是左上角多了一个VIP的标志:

澳门美高梅手机网站 3

 

大家领会,遵照苹果的系统编制,一台iOS设备上不容许存在六个Bundle
ID一样的app。因而,我们臆度这多少个微信分身app是修改过Bundle
ID的。于是我们查阅一下Info.plist,果然Bundle ID已经做了改动:

 澳门美高梅手机网站 4

 

唯独探讨过iOS上微信分身的人自然知道,微信app在开行以及发送信息的时候会对Bundle
ID做校验的,假设不是”
com.tencent.xin”就会报错并脱离。那么”倍推微信分身”是怎么完成的呢?经过分析,原来”倍推微信分身”是透过hook的一手,在app启动的时候对BundleID做了动态修改。至于怎么开展非越狱iOS上的hook可以参见我事先写的两篇随笔:

 

【iOS冰与火之歌番外篇 –
在非越狱手机上进展AppHook】

http://drops.wooyun.org/papers/12803

 

【iOS冰与火之歌番外篇 -App
Hook答疑以及iOS 9砸壳】

http://drops.wooyun.org/papers/13824

 

于是乎我们对”倍推微信分身”的binary举行辨析,发现这些binary在起步的时候会load一个伪装成一个png文件的第三方的dylib–
wanpu.png:

澳门美高梅手机网站 5

 

用file指令能够看看这么些伪png文件其实是一个涵盖了armv7和arm64的dylib:

澳门美高梅手机网站 6

 

我们看看这一个伪图片就像是一个寄生虫一样存在于微信app的体内,特别像dota里的Naix(俗称小狗)的巅峰技能

  • 寄生,因而我们把那么些危险样本称之为ImgNaix。

澳门美高梅手机网站 7

 

  还有,域名中尽量不要添加“-”(中横线),因为会下滑爬虫检索的权重。

总结

 

就算我们在样本分析的历程中除去拿走用户隐私外,暂时并未捕获到黑心抨击的表现,但以此”倍推微信分身”预留了大气险恶的接口(私有API,URL
Scheme
Hijack,文件操作接口等),并且破解者是足以不管修改客户端的内容,因此不用说推送任意广告和收款音信了,连窃取微信账号密码的可能都有,简直就像一颗定时炸弹装在了手机上。这样的微信双开你还敢用吗?

 

从这些样本中,大家曾经观察在非越狱iOS上的攻防技能早已变的要命干练了,无论是病毒(XcodeGhost)仍然破解软件(ImgNaix)都使用了不少苹果安全体制的老毛病,并且随着研商iOS安全的人尤其多,会有更多的尾巴会被察觉
(e.g.,
利用XPC漏洞过App沙盒http://drops.wooyun.org/papers/14170)。此外,iOS上的app不像Android,简直一点防护措施都没有,当遇到黑客攻击的时候几乎会瞬间沦陷。正如同我在MDCC
2015开发者大会上所讲的,XcodeGhost只是一个初叶而已,随后会有愈来愈多的危机会油但是生在iOS上,请我们做好暴风雨来临前的准备呢!

 

作者:蒸米@阿里移动安全,更多安全技能随笔,请查看阿里聚康宁博客

 

  1、英文名 company2、.com是当下国际最广大流行的通用域名格式3、com为
Commercial organizations
简称,表示商业社团,集团。.com是近期国际最常见流行的通用域名格式,现全球的用户超过1.1亿个。所有国际化公司都会注册.com域名。4、.com域名的在互联网域名系统是一个一流域名(TLD)5、即使做SEO优化,及Google广告推广等利用,请使用com域名,cn,
info域名,那一个域名在探寻中权重较高。如果您注册一个后缀是xx的域名,外人的一看便是私自网站,就没兴趣浏览了。

 

  四、me域名

擅自改动推送的内容,举办钓鱼攻击等操作。比如我经过DNS威迫就可知轻易修改推送给用户的数目,以及诱导用户去下载我自己设定的商家app,简直和XcodeGhost一模一样(具体细节可以参考我往日揭橥的《你认为服务器关了这事就截止了?

XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警》http://drops.wooyun.org/papers/9024)。

 

这边大家开展DNS胁制并修改了推送的始末,同时我们把URL替换成了另一个集团应用的下载plist:

澳门美高梅手机网站 8

 

可以见见大家在开行”倍推微信分身”的时候弹出了更新对话框,还不能撤消:

澳门美高梅手机网站 9

 

点击后,”倍推微信分身”下载了我们轮换后的公司应用,一个伪装成微信的假app:

澳门美高梅手机网站 10

 

除了,在解析的长河中,大家还发现”倍推微信分身”app还存在非凡多的危急接口,并且可以应用第三方服务器的主宰举行长距离调用:

 

(1).
“倍推微信分身”app利用动态加载的办法调用了成百上千私有API。比如app使用了MobileCoreServices里的[LSApplicationWorkspace
allInstalledApplications]来赢得手机上设置的应用:

澳门美高梅手机网站 11

 

比如app使用了SpringBoardService(Service)s的SBSLaunchApplicationWithIdentifier。这多少个API
能够在不需要urlscheme的情状下调起目的app:

澳门美高梅手机网站 12

 

比如app加载了和采纳设置有关的私有Framework
MobileInstallation以及预留了经过URL Scheme安装公司app的接口:

澳门美高梅手机网站 13

 

(2).
“倍推微信分身”app预留了一整套文本操作的危险接口,可以平昔对微信app内的有着文件举行操作,这多少个文件包括好友列表,聊天记录,聊天图片等隐私音信。

澳门美高梅手机网站 14

 

要明白在iOS上,聊天记录等音讯都是全然没有加密的保留在MM.sqlite文件里的:

澳门美高梅手机网站 15

 

  怎么要购买域名?

三、高危接口分析

 

急需注意的是,”倍推微信分身”打开的url数据都是服务端可控的,并且没有进展加密,黑客可以利用MITM
(Man-in-the-middle attack)

澳门美高梅手机网站 16

作者:蒸米@阿里移动安全

  综上所述,楼主购买了www.proginn.com

序言

 

微信作为手机上的第一大利用,有着上亿的用户。并且很四人都不但拥有一个微信帐号,有的微信账号是用来商业的,有的是用于私人的。可惜的是官方版的微信并不扶助多开的听从,并且屡屡更换微信账号也是一件特别劳顿的事,于是我们纷纷在寻找可以在手机上登陆三个微信账号的点子,相对于iOS,Android上业已有了很干练的产品,比如360
OS的微信双开和LBE的双开大师就足以满意广大用户多开的急需。

 

唯独在iOS上,因为苹果的安全部制,并没有其他知名的IT厂商推出微信多开的出品,反而是各个小店铺的微信双开产品满天飞。但接纳这多少个产品的确安全啊?先天大家就来探望那个产品的真相。

 

  如,办一个合作社,买一个一个公网服务器,就有了公网的IP地址(就相当于有了个外孙子,外孙子有了身份证号),不过想让外界的人了解,就向域名服务商购买域名(给孙子起了个名字)将域名和进货的公网IP地址绑定(公安局办户口),两者就涉嫌在一块儿了。

二、wanpu.png分析

 

用ida打开wanpu.png,可以看到这么些dylib分别对BundleID,openURL和NewMainFrameViewController举办了hook:

澳门美高梅手机网站 17

 

BundleID不用说,是为着让app在运行的时候改回”com.tencent.xin”。

 

NewMainFrameViewController的hook函数就是在微信主页上显得VIP的图片,以及传输一些那么些隐私的用户数据(ssid,
mac, imei等)到开发者自己的服务器上:

澳门美高梅手机网站 18
澳门美高梅手机网站 19

 

OpenURL那个hook就很有趣了,这么些函数本身是用来处理调用微信的URL
Schemes的。看过我事先写过的《iOS URL Scheme
威胁》的稿子的人一定知道这么些”倍推微信分身”是有能力举行URL
Scheme胁迫的,如若在Info.plist里展开了讲明,手机上具备应用的URL
Schemes的行使都有可能被hijack。

 

除外这么些hook以外,我们在如故在”倍推微信分身”的逆向代码里,发现了Alipay的SDK!一个没悟出,在”倍推微信分身”的扶植下,支付宝和微信支付到底走到了一同:

澳门美高梅手机网站 20

 

因为捆绑了支付宝的SDK,”倍推微信分身”可以调用支付宝的立刻支付功效:

澳门美高梅手机网站 21

 

通过网络抓包分析,我们得以观望”倍推微信分身”会发送一些服务收费的数目到手机上:

澳门美高梅手机网站 22

 

经分析,”倍推微信分身”之所以出席支付宝sdk是为了对那些微信多开app进行收费。因为全世界没有免费的午宴,软件开发者之所以制作腾讯的盗版软件”倍推微信分身”就是为着可以获得到自然的纯收入,所以才会接入支付SDK的。

 

  一、com域名

  国内的有名域名提供商有新网、万网。由于楼主一贯拔取新网的域名服务,所以这里推荐新网

  三、net域名

  购买域名前,可以寻找自己热爱的域名是否被购买了

  .com域名,一般48RMB/每年。

  购买域名此前,简单介绍下域名的花色和一些特点

  1、.me域名是南美洲西南部的国家黑山共和国(Montenegro,原为南斯拉夫社会主义联邦共和国的一部分,二〇〇六年通告独立)的国家域名。.me域名是举世流行推出的顶级域名2、对注册.me域名的身价没有另外限制,任何一个国度的个体或集团均可登记。即便没有动用限制,可是在香港.me域名,备案肯定会通不过。

  举个例子,每个人出生的时候,都会有一串数字,这串数字会更随着你一世。它就是身份证,14xxxxxxxxxxxxxxxxxx。这串数字是你在地球上生存的的绝无仅有标识符。然则考虑到它的实用性,父母叫你的时候不容许叫您的身份证号吧,所以就给您起了个名字。狗蛋儿。狗蛋儿对应的就是
14xxxxxxxxxxxxxxxxxx。上学同学叫您狗蛋儿,老师叫您狗蛋儿,女对象叫你狗蛋儿。外人只需要明白您的名字就好了,不需要精晓你的身份证是有点。

  二、org域名

澳门美高梅手机网站 23

  怎么样购买域名?

  回到在此之前的题材。既然做了下面的牵线,推介购买.com域名。域名一定要简单明了,比如百度(baidu.com),
Google(g.cn
Google中国域名),dota(dota.uuu9.com),资料介绍,出名集团的网址的平均长度为7.5。

  1、.net是国际最广泛流行的通用域名格式。一般用来从事Internet相关的网络服务的单位或小卖部,是建立全球经贸品牌,国际化形象的率先抉择

  在互联网中,每个机器设备都会有唯一的标识符,IP地址。可是记得IP地址太不靠谱了,所以有人就想了个招,给它起个名字吧。

  1、英文名
organization2、.org适用于各项社团机构,包括非盈利协会。在登记方面,org域名的身价没有任何限制,任何一个国度的私家或商店均可登记。3、.org域名与·com和·net同是如今国际最广大流行的通用域名格式。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*
*
Website