◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇

逆向工程解析苹果IOS平台下架360全部软件的原因

2013年02月03日中国软件网 

　　国内这几天真热闹，上周刚回到硅谷这边，这周陆续跟同事聊360的事，发
现大家集中有两个话题，一个是360的隐私问题，另一个是如何对苹果APP的审核
更加小心谨慎。

　　这边有几个高手这几天业余时间看了看360 APP的代码，大家开会时讨论用，
结果就发现尴尬的地方了，360手机卫士和电池医生至少这两款APP存在各种各样
侵犯用户隐私的行为，但是代码做得很巧妙，不得不佩服360在这方面挖空心思。

　　我把同事的一些研究成果集中在这里，一些图片稍微处理了下。

　　1、非法读取用户的iPhone上安装了哪些APP

　　请注意，这里的代码取自APP Store版的360手机卫士和360电池医生。从代
码可以看出，它在非法访问获取用户这台iPhone中已经安装了的APP信息。360你
读这个信息干嘛？我装了什么APP，管你什么事？

　　我想问问360：一台iPhone，用户到底装了哪些APP，这算不算隐私？

2、非法阅览用户的照片和音乐文件夹
　　如果说你读取我装的APP信息算是隐私还有点矫情，那你到底为什么读取用
户iPhone的照片和音乐文件夹？你是不是有嫌疑把用户的艳照拿走？

3、非法获取系统进程资源信息

　　以下是另一位同事拿到的APP Store版360手机卫士部分代码，代码显示360
正在获取系统进程资源信息。这个基本上说得过去，但这是苹果APP Store严禁
的行为。

　　下面来总结一下，我试图用最严密的逻辑来推导一下：

　　A、360读取上述所有信息，都是苹果不允许的，属于开发者的违规行为，苹
果见一次踢一次，见两次踢全家。这在所有的APP中，极其罕见。

　　B、360读取这些不必要的信息的动机是什么？恐怕只有360自己知道。这家
公司在隐私窃取和泄露方面是有前科的。前年连Google快照里都有360的上传的
隐私信息，用户的账号密码都有。那次事件触动了Google员工，这次事件触动了
苹果员工，360真牛。

　　C、抛开动机和阴谋论。360读取这些不必要的信息，是完全具备窃取隐私的
能力的。

　　这就好比一个惯偷，他以前偷过东西，现在他跑到你家里去了，你觉得，你
是不是有理由怀疑他又一次在作案？所以，我强烈质疑，360在其APP中有窥探、
窃取用户隐私的嫌疑。

　　我想说的是，这次360事件肯定在苹果乃至整个硅谷APP开发圈都造成了影响，
今后中国的开发兄弟们一定要多小心谨慎，偏见的产生在所难免，尤其是看了以
下的代码后，你会觉得中国人的那点小聪明基本都集中在360身上了。

　　另外我坚决不会向身边的亲朋好友推荐360任何东西，这家公司从PC到手机
的记录，从3721到360的记录完全不值得任何信任，就像希特勒能力是很强，但
是你能信任他能给你任何福祉吗？

　　最后补充下，这些APP如360手机卫士在APP Store的最后一次更新是1.81版
本，而360又明确在公告中说了“360产品无需做任何修改，将在未来48小时到72
小时内重新上架苹果APP商店”，等360上架的时候，可以分析一下，360到底有
没有改动过，呵呵，很简单，看看ipa就知道了。

　　当然，如果是这个结果，我又会对苹果的APP审核机制产生新的忧虑。

(XYS20130207)

◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇