Tag: Appsec

适用于iOS的“ Meitu”应用程序中有关Analytics Collection的技术信息: 今天有一些骚动涉及到名为Meitu的移动应用程序。这篇文章仅关注iOS版本（如果有兴趣，其他人已经初步了解了Android版本）。评估内容（v6.1.1） “ 美图秀秀 ”（com.meitu.mtxx） “ MTXXFilterExtension”（ com.meitu.mtxx.MTXXFilterExtension ） “ MTMosaicMessage ”（com.meitu.mtxx.MTMosaicMessage）收集的分析信息设备IMEI，IMSI和MAC地址似乎没有发送到Meitu的第一方或任何打包的第三方分析服务器。无法在更新为最新固件版本的iOS设备上获取与无线电有关的敏感信息。在初步测试过程中，Meitu应用程序确实向服务器发送了伪造的MAC地址“ 02：00：00：00：00：00”。乔纳森·兹齐亚斯基（Jonathan Zdziarski）提到了Meitu应用程序对MAC地址的使用，因为二进制代码仍包含用于获取设备MAC地址的功能。但是，如上所述，App Store沙箱中的iOS应用程序无法访问设备的真实MAC地址（与IMEI和IMSI一样）。对于iOS 8或更高版本的设备，此功能没有风险。以下信息似乎确实已发送到Meitu分析服务器（adui.tg.meitu.com）：iOS版本（例如“ 10.2”），设备型号（例如“ iPhone7,2”），网络类型（例如“ WiFi”），设备语言，设备区域设置，移动国家/地区代码以及随机生成的唯一标识符。正如乔纳森·兹齐亚斯基（Jonathan Zdziarski）指出的，由于使用了第三方分析库，Meitu应用程序确实获得了蜂窝提供商的名称。蜂窝提供商名称将发送到第三方分析提供商Umeng / Youmi（alogs.umeng.com）的服务器。 “ channel_id”也发送到adui.tg.meitu.com服务器。由于大量使用“辅助”或“辅助”工具在该地区旁加载应用程序，因此这在中国应用程序中很常见。直接从App Store下载应用程序后，将在此参数下发送值“ App Store”。 Meitu应用程序收集GPS位置（如果已授权），并将其发送到分析服务器。我无法高度确定发送GPS位置的分析服务器，但我有一定的信心，认为该分析服务器是第三方分析服务器，并未由Meitu本身直接调用（旁注：Meitu确实请求访问权限位置带有模糊信息“开启后美图秀秀才可访问你的地理位置哦”，但直接归因于美图本身的唯一用例是为用户检查当地天气。专用API的使用正如Jonathan Zdziarski所指出的那样，该应用程序包含从私有框架加载两个功能的代码。但是，此代码不能按原样工作。这是因为该应用程序从路径“ /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS7.0.sdk/System/Library/PrivateFrameworks/GraphicsServices.framework/ GraphicsServices”（此路径在iOS设备上不存在）。 Meitu应用程序中确实存在一些代码，可以允许在运行时动态加载私有框架。但是，没有迹象表明已使用它。 […]