未分類
2020 年 11 月 24 日

关于 Apple M1 的群众意见每日汇总 [码农方向][2020.11.20]

关于 Apple M1 的群众意见每日汇总 [码农方向][2020.11.20]

資深大佬 : zckevin 3

Apple M1 & 白帽 & 黑灰产 by @蒸米 spark

苹果不光不讲武德,还对安卓痛下杀手,测试了一下,就算是没有在 mac 的 appstore 上上架的应用也可以用砸壳后的 ipa 在 mac 上原生运行,也可以轻松对其 hook 。听我同事说,最夸张是企业签名后的 ipa 包,直接双击运行跟执行 exe 一样方便。黑灰产的春天来了,还搞毛线的群控,几台 Mac 直接全部搞定。[二哈] ​​​​

https://weibo.com/2250770035/JuE6t2w8A

iPhone 上拖下来的 ipa,一点修改都不用做就可以在 macOS 上跑了,想运行啥版本就运行啥版本,想 hook 就 hook,想多开就多开,用脚本执行任意函数也可以,甚至写个脚本用鼠标自动点击也可以。哎,我以后再也不会相信直播在线人数,销量,播放量啥的指标了。。。[允悲][允悲][允悲]

更扯淡的是在 iOS 上不越狱很难搞到 app 沙盒里的文件,对用户的数据来说是一种保护,结果在 macOS 上运行的 iOS app,数据全都放在 user 目录里,普通权限随便读写,聊天记录,明文密码啥的,一秒钟就给拖走,篡改文件导致代码执行啥的也有可能。。。

iOS app 运行时加载的库都是用的系统原生的(主要是在 iOSSupport 目录下),无论是 fuzz 还是研究新的攻击面估计都会有重大收获,以后 iOS 的漏洞和 rce 少不了[doge]

@Flanker_017: ARM 芯片在桌面消费市场真正的应用带来的影响是颠覆性的,无论是对灰黑产,风控,还是安全研究

iOS App 流量抓包

ARM-based macOS can run iOS apps + network traffic/cert store is tied to macOS = perfect for iOS app hacking

Build macOS ARM apps in Xcode without a real macOS ARM SDK, by Zhuowei Zhang

Here’s a script that modifies Xcode’s macOS SDK to build for ARM. You can use this to find code that won’t compile on ARM, to get a head start on porting before Apple releases Xcode for an ARM Mac.

关于 Apple M1 的群众意见每日汇总 [码农方向][2020.11.20]

https://worthdoingbadly.com/sim-macos-arm-sdk/

Audio/DSP

M1 move hit sound designers, plugin companies, and instrument companies so hard atm. Imagine rewriting all of your low latency DSP code on new architecture. From scratch…

Rosetta2 == Intel 🙂

neat m1 tip: in activity monitor under Architecture you can see what’s running native or rosetta 2. It’ll be defined as Intel or Apple.

关于 Apple M1 的群众意见每日汇总 [码农方向][2020.11.20]

大佬有話說 (19)

  • 資深大佬 : ziyuan

    能不能开发个自动抢茅台的 app

  • 資深大佬 : meganut

    主每天都弄这个日报 我决定以后当作早餐读物看 555 太感人了

  • 資深大佬 : virgil1988

    太酷了,这下可以随意研究各种 iOS 上的 app 了

  • 資深大佬 : frqk

    也就是保存在 UserDefaults 里的数据都可以随便看了?

  • 資深大佬 : cwr31

    cool

  • 資深大佬 : fuo

    @meganut 附议

  • 資深大佬 : tsanie

    第一个比较感兴趣,以前要用 mitmproxy 加透明代理来抓包

  • 資深大佬 : gainsurier

    图裂了。

  • 資深大佬 : Te11UA

    第一个太吊了

  • 資深大佬 : M1hahahaha

    此时此刻,年轻的安卓开发者,可以发奋一下转 iOS 了。安卓只是手机,ios 是手机平板加电脑,方向多路子广啊

  • 資深大佬 : lixintcwdsg

    主要是手上手机号和 ip 要足够多
    不过如果仅仅使用 uuid deviceid idfa 这类东西刷量,的确现在算是一个漏洞
    买一台 16G 的赶紧做一个刷量系统玩儿玩儿。。。
    不过大量 UUID 集中在少数 IP 这种低级流量识别的方法,苹果应该是肯定做了的才对

  • 資深大佬 : 12101111

    所以即使没有出现在 mas 里的 ipa 也可以安装?

  • 資深大佬 : fisher335

    你说 ios 开始跟 windows 路线一样,不限制机器,允许 arm 的机器随便装,然后按照序列号收钱,或者再大胆一点,全部免费,靠 appstore 收钱,会不会直接给 win+intel 干爬下?

  • 資深大佬 : cht1995

    看到 lz 帖后 莫名其妙地想找论坛上用 Herb Sutter 当头像的那个人是谁来着 结果没找到 。。。

  • 資深大佬 : iawes

    @fisher335 系统开放之后肯定干不过 windows,Windows 是绑定了 office

  • 資深大佬 : zckevin

    @meganut 感谢,随便摘抄的

  • 資深大佬 : zckevin

    @cht1995 真巧,我也在某个论坛用过 Herb Sutter 的头像…

  • 資深大佬 : JerryCha

    危 阿里 危,闲鱼又能在电脑上用了

  • 資深大佬 : SingeeKing

    很棒,希望每天都有 +1

    顺便利用 inoreader 做了一个 RSS,开放出来,有需要的人可以订阅

    RSS: https://www.inoreader.com/stream/user/1006234521/tag/%E5%85%B3%E4%BA%8E%20Apple%20M1%20%E7%9A%84%E7%BE%A4%E4%BC%97%E6%84%8F%E8%A7%81%E6%AF%8F%E6%97%A5%E6%B1%87%E6%80%BB

    JSON Feed: https://www.inoreader.com/stream/user/1006234521/tag/%E5%85%B3%E4%BA%8E%20Apple%20M1%20%E7%9A%84%E7%BE%A4%E4%BC%97%E6%84%8F%E8%A7%81%E6%AF%8F%E6%97%A5%E6%B1%87%E6%80%BB/view/json

    HTML: https://www.inoreader.com/stream/user/1006234521/tag/%E5%85%B3%E4%BA%8E%20Apple%20M1%20%E7%9A%84%E7%BE%A4%E4%BC%97%E6%84%8F%E8%A7%81%E6%AF%8F%E6%97%A5%E6%B1%87%E6%80%BB/view/html?cs=m