在2015年3月27日,2015MSS移动安全峰会在北京召开。对于各位数码技术爱好者而言,此次峰会最为值得期待的事情莫过于@Chronic、@Comex、@P0sixninja、@Pimskeks以及国内最近风生水起的“太极越狱”团队核心成员XN等大神悉数登场了。极客、黑客、越狱、破解这些在日常生活里听起来就炫酷到不行的词汇概念,今天在“太极越狱”主办的峰会中将这些传说般的“大神”级人物推到了国内果粉们面前,真的有一种美梦成真的感觉。
“耳听为虚,眼见为实”,在多年来使用了各类iOS设备越狱补丁,听闻了多年关于各路越狱大神的种种传说消息之后,此次在MSS移动安全峰会上亲眼见得本尊出现,自然不能漏过种种精彩。在会议开场之后,首先登场的就是WillStrafach了,听到这个名字或许各位果粉会感到陌生,但若要提到Chronic,ChronicDev 团队,绿毒这些名字,想必各位绝对会有如雷贯耳的感觉。Will大神就是Chronic Dev 团队开发“绿毒”破解补丁的核心成员,其在iOS系统越狱破解的历史上功不可没。
而令人惊喜的是,除了Will大神除了在会议当中进行主题演讲和QA提问之外,还当场秀了一把神乎其神的破解大法,令在座的与会者们大呼过瘾。作为首次在国内举办的移动安全峰会,大神自然也要“接地气”一点,Will此次在会议现场所选择破解的对象就是国内著名的聊天交友App应用“陌陌”了。众所周知的,在陌陌的4.10版本当中,添加了“阅后即焚”功能。“陌陌”的“阅后即焚”功能可以应用在好友间聊天和群聊,照片在显示一段时间后机会自动消失,同时如何用户截图的话,照片发送者会收到提醒。不过阅后即焚这一功能的鼻祖“SnapChat”允许用户设定照片显示时间,而陌陌则统一让照片显示5秒。
“行家一出手,就知有没有”,在Will的操作之下,“陌陌”本身的阅后即焚功能很快就被攻克,对于超过时限的截屏和图片消息依然可以完美找回。普通用户认为不可能完成的任务,在Will大神的操作之下则变得轻而易举。在现场Will大神解释了具体的破解原理,在应用程序打开之后dyld将在应用程序的二进制文件中使用‘loadcommand“向内存中载入所需的“库”,黑客只需在应用程序(.app)中增加自己的定制动态库就可以达到改写签名、破解等相关操作。
Will大神在此次峰会上当场演示破解“陌陌”的“阅后即焚”功能当然不是为了炫耀自己的技巧而是通过这样的当场演示,向各位果粉朋友们表示在iOS平台中,众多App应用在信息安全封面还存在有重大的隐患,需要从业者和开发者们重视。Will表示:“应用程序只在他们自己的代码中有安全特效,这其中就包括有短信及计时器结束之后会消失的媒介信息、对方截屏之后自动通知的防范系统等,但是这些措施并不安全,通过一些并不复杂的破解操作,黑客们就可以控制某一应用程序当中程序代码的任意一部分”。
最后,Will大神向各位iOS系统使用者提示,绝对不要过度相信App客户端里所谓的安全功能,在发送完消息或媒体文件之后,记住“计时器”倒计时结束之后,相关消息文件也不一定会彻底消失,不要完全相信对方对于敏感信息的截图会收到报告等。
在先前,iOS用户一直所关注的是系统本身安全性设置对于个人隐私信息的保护是否存在有漏洞这一问题。而在此次MSS移动安全峰会上,Will用自己的实际操作提醒大家,App客户端内在的安全风险同样需要加以重视。而在目前的安全产品市场上,这一领域目前还存在有巨大空缺,需要开发者和从业者在未来苹果iOS系统相关产品的研发中来进行弥补。
