这是一个创建于 1815 天前的主题,其中的信息可能已经有所发展或是发生改变。
Apple M1 & 白帽 & 黑灰产 by @蒸米 spark
苹果不光不讲武德,还对安卓痛下杀手,测试了一下,就算是没有在 mac 的 appstore 上上架的应用也可以用砸壳后的 ipa 在 mac 上原生运行,也可以轻松对其 hook 。听我同事说,最夸张是企业签名后的 ipa 包,直接双击运行跟执行 exe 一样方便。黑灰产的春天来了,还搞毛线的群控,几台 Mac 直接全部搞定。[二哈]
https://weibo.com/2250770035/JuE6t2w8A
iPhone 上拖下来的 ipa,一点修改都不用做就可以在 macOS 上跑了,想运行啥版本就运行啥版本,想 hook 就 hook,想多开就多开,用脚本执行任意函数也可以,甚至写个脚本用鼠标自动点击也可以。哎,我以后再也不会相信直播在线人数,销量,播放量啥的指标了。。。[允悲][允悲][允悲]
更扯淡的是在 iOS 上不越狱很难搞到 app 沙盒里的文件,对用户的数据来说是一种保护,结果在 macOS 上运行的 iOS app,数据全都放在 user 目录里,普通权限随便读写,聊天记录,明文密码啥的,一秒钟就给拖走,篡改文件导致代码执行啥的也有可能。。。
iOS app 运行时加载的库都是用的系统原生的(主要是在 iOSSupport 目录下),无论是 fuzz 还是研究新的攻击面估计都会有重大收获,以后 iOS 的漏洞和 rce 少不了[doge]
@Flanker_017: ARM 芯片在桌面消费市场真正的应用带来的影响是颠覆性的,无论是对灰黑产,风控,还是安全研究
iOS App 流量抓包
ARM-based macOS can run iOS apps + network traffic/cert store is tied to macOS = perfect for iOS app hacking
https://twitter.com/iangcarroll/status/1329265104882343937
Build macOS ARM apps in Xcode without a real macOS ARM SDK, by Zhuowei Zhang
Here’s a script that modifies Xcode’s macOS SDK to build for ARM. You can use this to find code that won’t compile on ARM, to get a head start on porting before Apple releases Xcode for an ARM Mac.
https://worthdoingbadly.com/sim-macos-arm-sdk/
Audio/DSP
M1 move hit sound designers, plugin companies, and instrument companies so hard atm. Imagine rewriting all of your low latency DSP code on new architecture. From scratch…
https://twitter.com/vertexclique/status/1329247682838335491
Rosetta2 == Intel :-)
neat m1 tip: in activity monitor under Architecture you can see what's running native or rosetta 2. It'll be defined as Intel or Apple.
 | 1 ziyuan 2020-11-20 08:27:52 +08:00 能不能开发个自动抢茅台的 app |
 | 2 meganut 2020-11-20 08:40:17 +08:00  1 楼主每天都弄这个日报 我决定以后当作早餐读物看 555 太感人了 |
 | 3 virgil1988 2020-11-20 09:00:22 +08:00 via iPhone 太酷了,这下可以随意研究各种 iOS 上的 app 了 |
 | 4 frqk 2020-11-20 09:04:57 +08:00 也就是保存在 UserDefaults 里的数据都可以随便看了? |
 | 5 cwr31 2020-11-20 09:07:21 +08:00 via iPhone cool |
 | 7 tsanie 2020-11-20 09:13:01 +08:00 第一个比较感兴趣,以前要用 mitmproxy 加透明代理来抓包 |
 | 8 gainsurier 2020-11-20 09:15:44 +08:00 图裂了。 |
 | 9 Te11UA 2020-11-20 09:19:40 +08:00 第一个太吊了 |
 | 10 M1hahahaha 2020-11-20 09:22:03 +08:00 via Android 此时此刻,年轻的安卓开发者,可以发奋一下转 iOS 了。安卓只是手机,ios 是手机平板加电脑,方向多路子广啊 |
 | 11 lixintcwdsg 2020-11-20 09:25:31 +08:00 主要是手上手机号和 ip 要足够多 不过如果仅仅使用 uuid deviceid idfa 这类东西刷量,的确现在算是一个漏洞 买一台 16G 的赶紧做一个刷量系统玩儿玩儿。。。 不过大量 UUID 集中在少数 IP 这种低级流量识别的方法,苹果应该是肯定做了的才对 |
 | 12 12101111 2020-11-20 09:40:14 +08:00 所以即使没有出现在 mas 里的 ipa 也可以安装? |
 | 13 fisher335 2020-11-20 10:00:14 +08:00 你说 ios 开始跟 windows 路线一样,不限制机器,允许 arm 的机器随便装,然后按照序列号收钱,或者再大胆一点,全部免费,靠 appstore 收钱,会不会直接给 win+intel 干爬下? |
 | 14 cht 2020-11-20 11:44:32 +08:00 看到 lz 帖后 莫名其妙地想找论坛上用 Herb Sutter 当头像的那个人是谁来着 结果没找到 。。。 |
 | 18 JerryCha 2020-11-20 13:12:11 +08:00 1 危 阿里 危,闲鱼又能在电脑上用了 |
Select Language