摘要: 360安全卫士已经重新在apple app store上架,但是在某论坛上有技术党发现新上架的360系列产品和原先的不同,并且进行了逆向工程,一下是完整解析整个360产品下架的可能原因。 360的全部APP都被苹果ban掉的消息是这几天圈子里最爆炸的新闻。不过,让我最感兴趣的是,到底是因为神马苹果要诛360的九族。 看看360的官方声明,它 ...
| 360安全卫士已经重新在apple app store上架,但是在某论坛上有技术党发现新上架的360系列产品和原先的不同,并且进行了逆向工程,一下是完整解析整个360产品下架的可能原因。 360的全部APP都被苹果ban掉的消息是这几天圈子里最爆炸的新闻。不过,让我最感兴趣的是,到底是因为神马苹果要诛360的九族。 看看360的官方声明,它的原话是:系苹果方面发现部分产品刷票。 (声明原文在这里:weibo.com/1645903643/y4m3Zgdtl) 我来给大家翻译一下:因为作弊,被苹果ban了。 尽管遮遮掩掩,用了一个“被刷票”,这货好歹也算是承认作弊了,但是,事实真的这么简单么?之前网络上已经有很多大神做了各种分析猜测,我觉得都挺靠谱,但没一个拿出牛逼的证据来。 我来点干货,我昨天花了大半天时间研究了一下360的东西,逆向了360的几个APP的代码,有惊人的发现!! 先来看一张截图吧。这个是来自“360浏览器HD”这个APP的逆向结果。从代码可以看出,360调用了苹果未公开的接口。【注意,这是苹果非常厌恶,并明令禁止的!!!!!】  有多处引用,所列出的位置都调用了非公开接口,利用加密逃避苹果APP STORE的官方审查。  看吧,下面的字符串都被加密过了:  再利用下面的代码将加密的字符串进行解密:   然后获得的内容:  看明白了么?我白话总结一下: 1、360这个APP的方法和对象调用了大量Webkit的私有方法,而不是公开调用的。这是苹果APP Store不允许调用的。 2、为什么360上架的时候没被发现呢?因为360用了加密的办法来逃脱审查,保证自己的成功上架。 3、可以肯定,苹果在大清洗运动开始后,加大了审查力度,必然发现360的违规行为。以360这种违规、欺骗的手段,杀100次头都不为过。被集体下架,实在是太小儿科了。 4.其实不管苹果最后给360说的到底是什么原因,总之就是苹果的行动已经表明了360的产品不受欢迎,在苹果一贯坚持的王者气质面前,在中国环境下靠打杀生长起来的土匪360显得相当囧,不仅要打落牙齿和血吞的笑脸相迎,还把血口伸向国内迁怒他人。 5.我做的的这些分析都有现成的APP可以下载,欢迎有能力的诸位自行验证。 给大家提个醒:到海外市场去混,不要还改不掉国内那点匪气,360这次把中国公司的脸丢到国外了,以后大家更要小心谨慎了,可以想见苹果的审核人员从此以后对中国公司的APP会有存在多么的偏见,会更加严格反复的审核了!360真是国内开发者的集体悲哀。 回过头来说360的声明,可以盖棺定论的是: 1、360撒谎了。导致360APP下架的原因之一是作弊,除此之外,至少还有一个原因:违反苹果开发准则。但360对此避而不谈。 2、我敢打赌,360不敢公布苹果回复邮件的全文。因为其中必然提到360欺骗违规。就学韩寒吧,赌2000万。 上面就是我的研究结论,欢迎各位大神继续吐槽。 下面是另外一个兄弟的分析,大家可以做参考。 国内这几天真热闹,上周刚回到硅谷这边,这周陆续跟同事聊360的事,发现大家集中有两个话题,一个是360的隐私问题,另一个是如何对苹果APP的审核更加小心谨慎。 这边有几个高手这几天业余时间看了看360 APP的代码,大家开会时讨论用,结果就发现尴尬的地方了,360手机卫士和电池医生至少这两款APP存在各种各样侵犯用户隐私的行为,但是代码做得很巧妙,不得不佩服360在这方面挖空心思。 我把同事的一些研究成果集中在这里,一些图片稍微处理了下。 1、非法读取用户的iPhone上安装了哪些APP 请注意,这里的代码取自APP Store版的360手机卫士和360电池医生。从代码可以看出,它在非法访问获取用户这台iPhone中已经安装了的APP信息。360你读这个信息干嘛?我装了什么APP,管你什么事? 我想问问360:一台iPhone,用户到底装了哪些APP,这算不算隐私?  2、非法阅览用户的照片和音乐文件夹 如果说你读取我装的APP信息算是隐私还有点矫情,那你到底为什么读取用户iPhone的照片和音乐文件夹?你是不是有嫌疑把用户的艳照拿走?  3、非法获取系统进程资源信息 以下是另一位同事拿到的APP Store版360手机卫士部分代码,代码显示360正在获取系统进程资源信息。这个基本上说得过去,但这是苹果APP Store严禁的行为。  下面来总结一下,我试图用最严密的逻辑来推导一下: A、360读取上述所有信息,都是苹果不允许的,属于开发者的违规行为,苹果见一次踢一次,见两次踢全家。这在所有的APP中,极其罕见。 B、360读取这些不必要的信息的动机是什么?恐怕只有360自己知道。这家公司在隐私窃取和泄露方面是有前科的。前年连Google快照里都有360的上传的隐私信息,用户的账号密码都有。那次事件触动了Google员工,这次事件触动了苹果员工,360真牛。 C、抛开动机和阴谋论。360读取这些不必要的信息,是完全具备窃取隐私的能力的。 这就好比一个惯偷,他以前偷过东西,现在他跑到你家里去了,你觉得,你是不是有理由怀疑他又一次在作案?所以,我强烈质疑,360在其APP中有窥探、窃取用户隐私的嫌疑。 我想说的是,这次360事件肯定在苹果乃至整个硅谷APP开发圈都造成了影响,今后中国的开发兄弟们一定要多小心谨慎,偏见的产生在所难免,尤其是看了以下的代码后,你会觉得中国人的那点小聪明基本都集中在360身上了。 另外我坚决不会向身边的亲朋好友推荐360任何东西,这家公司从PC到手机的记录,从3721到360的记录完全不值得任何信任,就像希特勒能力是很强,但是你能信任他能给你任何福祉吗? 最后补充下,这些APP如360手机卫士在APP Store的最后一次更新是1.81版本,而360又明确在公告中说了“360产品无需做任何修改,将在未来48小时到72小时内重新上架苹果APP商店”,等360上架的时候,可以分析一下,360到底有没有改动过,呵呵,很简单,看看ipa就知道了。 当然,如果是这个结果,我又会对苹果的APP审核机制产生新的忧虑。 |
