陌陌“現(xiàn)身”太極越獄MSS峰會(huì)，五秒被黑

在2015年3月27日，2015MSS移動(dòng)安全峰會(huì)在北京召開。對(duì)于各位數(shù)碼技術(shù)愛(ài)好者而言，此次峰會(huì)最為值得期待的事情莫過(guò)于@Chronic、@Comex、@P0sixninja、@Pimskeks以及國(guó)內(nèi)最近風(fēng)生水起的“太極越獄”團(tuán)隊(duì)核心成員XN等大神悉數(shù)登場(chǎng)了。極客、黑客、越獄、破解這些在日常生活里聽(tīng)起來(lái)就炫酷到不行的詞匯概念，今天在“太極越獄”主辦的峰會(huì)中將這些傳說(shuō)般的“大神”級(jí)人物推到了國(guó)內(nèi)果粉們面前，真的有一種美夢(mèng)成真的感覺(jué)。

“耳聽(tīng)為虛，眼見(jiàn)為實(shí)”，在多年來(lái)使用了各類iOS設(shè)備越獄補(bǔ)丁，聽(tīng)聞了多年關(guān)于各路越獄大神的種種傳說(shuō)消息之后，此次在MSS移動(dòng)安全峰會(huì)上親眼見(jiàn)得本尊出現(xiàn)，自然不能漏過(guò)種種精彩。在會(huì)議開場(chǎng)之后，首先登場(chǎng)的就是WillStrafach了，聽(tīng)到這個(gè)名字或許各位果粉會(huì)感到陌生，但若要提到Chronic，ChronicDev 團(tuán)隊(duì)，綠毒這些名字，想必各位絕對(duì)會(huì)有如雷貫耳的感覺(jué)。Will大神就是Chronic Dev 團(tuán)隊(duì)開發(fā)“綠毒”破解補(bǔ)丁的核心成員，其在iOS系統(tǒng)越獄破解的歷史上功不可沒(méi)。

而令人驚喜的是，除了Will大神除了在會(huì)議當(dāng)中進(jìn)行主題演講和QA提問(wèn)之外，還當(dāng)場(chǎng)秀了一把神乎其神的破解大法，令在座的與會(huì)者們大呼過(guò)癮。作為首次在國(guó)內(nèi)舉辦的移動(dòng)安全峰會(huì)，大神自然也要“接地氣”一點(diǎn)，Will此次在會(huì)議現(xiàn)場(chǎng)所選擇破解的對(duì)象就是國(guó)內(nèi)著名的聊天交友App應(yīng)用“陌陌”了。眾所周知的，在陌陌的4.10版本當(dāng)中，添加了“閱后即焚”功能。“陌陌”的“閱后即焚”功能可以應(yīng)用在好友間聊天和群聊，照片在顯示一段時(shí)間后機(jī)會(huì)自動(dòng)消失，同時(shí)如何用戶截圖的話，照片發(fā)送者會(huì)收到提醒。不過(guò)閱后即焚這一功能的鼻祖“SnapChat”允許用戶設(shè)定照片顯示時(shí)間，而陌陌則統(tǒng)一讓照片顯示5秒。

“行家一出手,就知有沒(méi)有”，在Will的操作之下，“陌陌”本身的閱后即焚功能很快就被攻克，對(duì)于超過(guò)時(shí)限的截屏和圖片消息依然可以完美找回。普通用戶認(rèn)為不可能完成的任務(wù)，在Will大神的操作之下則變得輕而易舉。在現(xiàn)場(chǎng)Will大神解釋了具體的破解原理，在應(yīng)用程序打開之后dyld將在應(yīng)用程序的二進(jìn)制文件中使用‘loadcommand“向內(nèi)存中載入所需的“庫(kù)”，黑客只需在應(yīng)用程序(.app)中增加自己的定制動(dòng)態(tài)庫(kù)就可以達(dá)到改寫簽名、破解等相關(guān)操作。

Will大神在此次峰會(huì)上當(dāng)場(chǎng)演示破解“陌陌”的“閱后即焚”功能當(dāng)然不是為了炫耀自己的技巧而是通過(guò)這樣的當(dāng)場(chǎng)演示，向各位果粉朋友們表示在iOS平臺(tái)中，眾多App應(yīng)用在信息安全封面還存在有重大的隱患，需要從業(yè)者和開發(fā)者們重視。Will表示：“應(yīng)用程序只在他們自己的代碼中有安全特效，這其中就包括有短信及計(jì)時(shí)器結(jié)束之后會(huì)消失的媒介信息、對(duì)方截屏之后自動(dòng)通知的防范系統(tǒng)等，但是這些措施并不安全，通過(guò)一些并不復(fù)雜的破解操作，黑客們就可以控制某一應(yīng)用程序當(dāng)中程序代碼的任意一部分”。

最后，Will大神向各位iOS系統(tǒng)使用者提示，絕對(duì)不要過(guò)度相信App客戶端里所謂的安全功能，在發(fā)送完消息或媒體文件之后，記住“計(jì)時(shí)器”倒計(jì)時(shí)結(jié)束之后，相關(guān)消息文件也不一定會(huì)徹底消失，不要完全相信對(duì)方對(duì)于敏感信息的截圖會(huì)收到報(bào)告等。

在先前，iOS用戶一直所關(guān)注的是系統(tǒng)本身安全性設(shè)置對(duì)于個(gè)人隱私信息的保護(hù)是否存在有漏洞這一問(wèn)題。而在此次MSS移動(dòng)安全峰會(huì)上，Will用自己的實(shí)際操作提醒大家，App客戶端內(nèi)在的安全風(fēng)險(xiǎn)同樣需要加以重視。而在目前的安全產(chǎn)品市場(chǎng)上，這一領(lǐng)域目前還存在有巨大空缺，需要開發(fā)者和從業(yè)者在未來(lái)蘋果iOS系統(tǒng)相關(guān)產(chǎn)品的研發(fā)中來(lái)進(jìn)行彌補(bǔ)。