陌陌“現(xiàn)身”太極越獄MSS峰會，五秒被黑

在2015年3月27日，2015MSS移動安全峰會在北京召開。對于各位數(shù)碼技術(shù)愛好者而言，此次峰會最為值得期待的事情莫過于@Chronic、@Comex、@P0sixninja、@Pimskeks以及國內(nèi)最近風(fēng)生水起的“太極越獄”團(tuán)隊核心成員XN等大神悉數(shù)登場了。極客、黑客、越獄、破解這些在日常生活里聽起來就炫酷到不行的詞匯概念，今天在“太極越獄”主辦的峰會中將這些傳說般的“大神”級人物推到了國內(nèi)果粉們面前，真的有一種美夢成真的感覺。

“耳聽為虛，眼見為實”，在多年來使用了各類iOS設(shè)備越獄補(bǔ)丁，聽聞了多年關(guān)于各路越獄大神的種種傳說消息之后，此次在MSS移動安全峰會上親眼見得本尊出現(xiàn)，自然不能漏過種種精彩。在會議開場之后，首先登場的就是WillStrafach了，聽到這個名字或許各位果粉會感到陌生，但若要提到Chronic，ChronicDev 團(tuán)隊，綠毒這些名字，想必各位絕對會有如雷貫耳的感覺。Will大神就是Chronic Dev 團(tuán)隊開發(fā)“綠毒”破解補(bǔ)丁的核心成員，其在iOS系統(tǒng)越獄破解的歷史上功不可沒。

而令人驚喜的是，除了Will大神除了在會議當(dāng)中進(jìn)行主題演講和QA提問之外，還當(dāng)場秀了一把神乎其神的破解大法，令在座的與會者們大呼過癮。作為首次在國內(nèi)舉辦的移動安全峰會，大神自然也要“接地氣”一點，Will此次在會議現(xiàn)場所選擇破解的對象就是國內(nèi)著名的聊天交友App應(yīng)用“陌陌”了。眾所周知的，在陌陌的4.10版本當(dāng)中，添加了“閱后即焚”功能。“陌陌”的“閱后即焚”功能可以應(yīng)用在好友間聊天和群聊，照片在顯示一段時間后機(jī)會自動消失，同時如何用戶截圖的話，照片發(fā)送者會收到提醒。不過閱后即焚這一功能的鼻祖“SnapChat”允許用戶設(shè)定照片顯示時間，而陌陌則統(tǒng)一讓照片顯示5秒。

“行家一出手,就知有沒有”，在Will的操作之下，“陌陌”本身的閱后即焚功能很快就被攻克，對于超過時限的截屏和圖片消息依然可以完美找回。普通用戶認(rèn)為不可能完成的任務(wù)，在Will大神的操作之下則變得輕而易舉。在現(xiàn)場Will大神解釋了具體的破解原理，在應(yīng)用程序打開之后dyld將在應(yīng)用程序的二進(jìn)制文件中使用‘loadcommand“向內(nèi)存中載入所需的“庫”，黑客只需在應(yīng)用程序(.app)中增加自己的定制動態(tài)庫就可以達(dá)到改寫簽名、破解等相關(guān)操作。

Will大神在此次峰會上當(dāng)場演示破解“陌陌”的“閱后即焚”功能當(dāng)然不是為了炫耀自己的技巧而是通過這樣的當(dāng)場演示，向各位果粉朋友們表示在iOS平臺中，眾多App應(yīng)用在信息安全封面還存在有重大的隱患，需要從業(yè)者和開發(fā)者們重視。Will表示：“應(yīng)用程序只在他們自己的代碼中有安全特效，這其中就包括有短信及計時器結(jié)束之后會消失的媒介信息、對方截屏之后自動通知的防范系統(tǒng)等，但是這些措施并不安全，通過一些并不復(fù)雜的破解操作，黑客們就可以控制某一應(yīng)用程序當(dāng)中程序代碼的任意一部分”。

最后，Will大神向各位iOS系統(tǒng)使用者提示，絕對不要過度相信App客戶端里所謂的安全功能，在發(fā)送完消息或媒體文件之后，記住“計時器”倒計時結(jié)束之后，相關(guān)消息文件也不一定會徹底消失，不要完全相信對方對于敏感信息的截圖會收到報告等。

在先前，iOS用戶一直所關(guān)注的是系統(tǒng)本身安全性設(shè)置對于個人隱私信息的保護(hù)是否存在有漏洞這一問題。而在此次MSS移動安全峰會上，Will用自己的實際操作提醒大家，App客戶端內(nèi)在的安全風(fēng)險同樣需要加以重視。而在目前的安全產(chǎn)品市場上，這一領(lǐng)域目前還存在有巨大空缺，需要開發(fā)者和從業(yè)者在未來蘋果iOS系統(tǒng)相關(guān)產(chǎn)品的研發(fā)中來進(jìn)行彌補(bǔ)。