前言

最近業務開發中，有遇到我們的項目 app 定位被篡改的情況，在 android 端表現的尤為明顯。為了防止這種黑產使用虛擬定位薅羊毛，iOS 也不得不進行虛擬定位的規避。

在做技術調研后，發現在蘋果手機上，單憑一部手機，真正要實現虛擬定位，是比較難實現的，但還是有存在的可能性，公司的一個項目 app 的 bugly 記錄反饋用戶存在使用越獄蘋果手機，這就著實讓人這種行為實在有大嫌。

本人和公司伙伴的共同努力下，大致調研了以下使用虛擬定位的情況(使用 Xcode 虛擬定位的方式本文忽略)：

第一種：使用越獄手機

一般 app 用戶存在使用越獄蘋果手機的情況，一般可以推斷用戶的行為存在薅羊毛的嫌疑(也有 app 被競品公司做逆向分析的可能)，因為買一部越獄的手機比買一部正常的手機有難度，且在系統升級和 appstore 的使用上，均不如正常手機，本人曾經淺淺的接觸皮毛知識通過越獄 iPhone5s 進行的 app 逆向。

識別方式

建議一刀切的方式進行，通過識別手機是否安裝了 Cydia.app,如果安裝了直接判定為越獄手機，并向后臺上報“設備異常”的信息。如果不使用這種方式的方式，請繼續看，后面會有其他方式解決。

專業的逆向人員是絕對可以避免 app 開發者對 Cydia 的安裝檢測的，當然這種情況是 app 在市場上有很大的份量，被競爭對手拿來進行逆向分析，對這種情況，虛擬的識別基本毫無意義。個人建議，直接鎖死停掉此手機 app 的接口服務。這里推薦一篇開發者如何識別蘋果手機已經越獄[1]的文章。

代碼實現

1. /// 判斷是否是越獄設備 
2. /// - Returns: true 表示設備越獄 
3. func isBrokenDevice() -> Bool { 
4.      
5.     var isBroken = false 
6.      
7.     let cydiaPath = "/Applications/Cydia.app" 
8.      
9.     let aptPath = "/private/var/lib/apt" 
10.      
11.     if FileManager.default.fileExists(atPath: cydiaPath) { 
12.         isBroken = true 
13.     } 
14.      
15.     if FileManager.default.fileExists(atPath: aptPath) { 
16.         isBroken = true 
17.     } 
18.      
19.     return isBroken 
20. } 

第二種：使用愛思助手

對于使用虛擬定位的場景，大多應該是司機或對接人員打卡了。而在這種場景下，就可能催生了一批專門以使用虛擬定位進行打卡薅羊毛的黑產。對于蘋果手機，目前而言，能夠很可以的實現的，當數愛思助手的虛擬定位功能了。

使用步驟： 下載愛思助手 mac 客戶端，連接蘋果手機，工具箱中點擊虛擬定位，即可在地圖上選定位，然后點擊修改虛擬定位即可實現修改地圖的定位信息。

原理： 在未越獄的設備上通過電腦和手機進行 USB 連接，電腦通過特殊協議向手機上的 DTSimulateLocation 服務發送模擬的坐標數據來實現虛假定位，目前 Xcode 上內置位置模擬就是借助這個技術來實現的。(文章來源[2])

識別方式

一、通過多次記錄愛思助手的虛擬定位的數據發現，其虛擬的定位信息的經緯度的高度是為 0 且經緯度的數據位數也是值得考究的。真實定位和虛擬定位數據如下圖：

真實定位

虛擬定位

仔細觀察數據，不難發現，如果我們比對獲取定位信息的高度，以及對經緯度的 double 位數也進行校驗，虛擬定位的黑帽子就會輕易被破了。

那么如果我們比對虛擬定位的高度為 0 時，就認定為虛擬定位，那么就會產生一個疑問，真實海拔就是零的地點，如何解決?這里科普下中國的海拔零度位置，中國水準零點位于青島市東海中路銀海大世界內的“中華人民共和國水準零點”，是國內唯一的水準零點。唯一的水準零點。

同時，因為比對經緯度的 double 位數，發現虛擬定位的位數很明顯不對，核對 swift 的 float 和 double 的位數精度發現，虛擬定位的經緯度數據只是敷衍的滿足 double 精度位數，swift 的 float 有效位數是 7，double 的有效位數是 15。

當然這個比較的權重是相對高度比較低的，筆者剛剛更新愛思助手版本發現新版本經緯度有更詳細，但是還是達不到 double 的有效位數級別。相對于目前的愛思助手的高度比較識別為虛擬定位，已經完全可以做到。

代碼實現

1. if location.altitude == 0.0 { 
2.     print("虛擬定位") 
3. } 
4.  
5. //位數作為判定的權重比，如果位數小于12(假定值,目前愛思助手的虛擬定位的此數據的位數是9)，判斷為虛擬定位， 
6. //危險慎用，但是作為小權重的異常數據記錄還是可以的 
7. let longitude = location.coordinate.longitude 
8. let longitudeStr = "\(longitude)".components(separatedBy: ".").last ?? "" 
9.  
10. print("經度的有效位數：\(longitudeStr.count)") 
11. if longitudeStr.count < 12 { 
12.  
13.     print("虛擬定位") 
14. } 

二、把定位后的數據的經緯度上傳給后臺，后臺再根據收到的經緯度獲取詳細的經緯度信息，對司機的除經緯度以外的地理信息進行深度比較，優先比較 altitude、horizontalAccuracy、verticalAccuracy 值，根據值是否相等進行權衡后，確定。

三、

(一)通過獲取公網 ip，大概再通過接口根據 ip 地址可獲取大概的位置，但誤差范圍有點大。

1. //獲取公網ip地址 
2. var ipAddress: String? { 
3.  
4.     let ipUrl = URL(string: "https://ipof.in/txt")! 
5.     let ip = try? String.init(contentsOf: ipUrl, encoding: .utf8) 
6.  
7.     return ip 
8. } 

(二)通過 Wi-Fi 熱點來讀取 app 位置[3]

(三)利用 CLCircularRegion 設定區域中心的指定經緯度和可設定半徑范圍，進行監聽。

代碼簡略實現：

1. manager = CLLocationManager() 
2. //設置定位服務管理器代理 
3. manager?.delegate = self 
4. //設置定位模式 
5. manager?.desiredAccuracy = kCLLocationAccuracyBest 
6. //更新距離 
7. manager?.distanceFilter = 100 
8. //發送授權申請 
9. manager?.requestWhenInUseAuthorization() 
10.  
11. let latitude = 115.47560123242931 
12. let longitude = 29.9757535600194 
13. let centerCoordinate = CLLocationCoordinate2D(latitude: latitude, longitude: longitude) 
14. let locationIDStr = "" 
15. let clRegion = CLCircularRegion(center: centerCoordinate, radius: 100, identifier: locationIDStr) 
16. manager?.startMonitoring(for: clRegion) 
17.  
18. 代理方法 
19.  
20.  func locationManager(_ manager: CLLocationManager, didEnterRegion region: CLRegion) { 
21.  
22. } 
23.  
24. func locationManager(_ manager: CLLocationManager, didExitRegion region: CLRegion) { 
25.  
26. } 

(四)通過 IBeacon 技術，使用 CoreBluetooth 框架下的 CBPeripheralManager 建立一個藍牙基站。這種定位直接是端對端的直接定位，省去了 GPS 的衛星和蜂窩數據的基站通信。

代碼簡略實現：

1. func locationManager(_ manager: CLLocationManager, didRangeBeacons beacons: [CLBeacon], in region: CLBeaconRegion) { 
2.  
3.     for beacon in beacons { 
4.         var proximityStr: String = "" 
5.         switch beacon.proximity { 
6.         case .far: 
7.             proximityStr = "Unknown" 
8.         case .immediate: 
9.             proximityStr = "Immediate" 
10.         case .near: 
11.             proximityStr = "Near" 
12.         case .unknown: 
13.             proximityStr = "Unknown" 
14.         } 
15.  
16.         var beaconStr = "信號：" + beacon.proximityUUID.uuidString + "major:" + beacon.major.stringValue + "minor:" + beacon.minor.stringValue + "距離：" + beacon.accuracy + "信號：" + "\(Int64(beacon.rssi))" + "接近度：" + proximityStr 
17.  
18.         print("beacon信息: \(beaconStr)") 
19.     } 
20.  
21. } 
22.  
23. func locationManager(_ manager: CLLocationManager, rangingBeaconsDidFailFor region: CLBeaconRegion, withError error: Error) { 
24.  
25. } 
26.      
27. ---------------------------------------------------------------------------------- 
28.  
29. //不能單獨創建一個類遵守CBPeripheralManagerDelegate協議，需要先遵守NSObjectProtocol協議，這里直接繼承NSObject 
30. class CoreBluetoothManager:NSObject, CBPeripheralManagerDelegate {  
31.      
32.     //建立一個藍牙基站。 
33.     lazy var peripheralManager: CBPeripheralManager =  CBPeripheralManager(delegate: self, queue: DispatchQueue.main, options: nil) 
34.              
35.     lazy var region: CLBeaconRegion = { 
36.          
37.         guard let uuid = UUID(uuidString: "xxx") else { 
38.             return CLBeaconRegion() 
39.         } 
40.         let major: CLBeaconMajorValue = 1 
41.         let minor: CLBeaconMajorValue = 1 
42.         let id = "創建的藍牙基站的名稱" 
43.         let region = CLBeaconRegion(proximityUUID: uuid, major: major, minor: minor, identifier: id) 
44.         return region 
45.     }() 
46.      
47.     func peripheralManagerDidUpdateState(_ peripheral: CBPeripheralManager) { 
48.          
49.         switch peripheral.state { 
50.         case CBManagerState.poweredOn: 
51.              
52.             if let data = self.region.peripheralData(withMeasuredPower: nil) as? [String : Any] { 
53.                  
54.                 self.peripheralManager.startAdvertising(data) 
55.             } 
56.              
57.         case CBManagerState.poweredOff, 
58.              CBManagerState.resetting, 
59.              CBManagerState.unauthorized, 
60.              CBManagerState.unsupported, 
61.              CBManagerState.unknown: 
62.              
63.             break 
64.         } 
65.     } 
66.     
67.     func peripheralManagerDidStartAdvertising(_ peripheral: CBPeripheralManager, error: Error?) { 
68.          
69.     } 
70.          
71. } 

四(待完善)、 iOS防黑產虛假定位檢測技術 文章的末尾附的解法本人有嘗試過，一層一層通過 kvc 讀取 CLLocation 的 _internal 的 fLocation，只能讀取到到此。再通過 kvc 讀取會報以下錯誤：

1. Expression can't be run, because there is no JIT compiled function 

深入研究，在蘋果的官方開發文檔上發現了這個解釋[4]，也有說設置 debug+ 優化策略的，但 iOS 默認 bug 環境就是 -Onone 級別的。其實主要原因貌似因為 JIT 的設置是在開發 mac 客戶端的時候，才能在 Signing&Capabilities 的 Hardened Runtime 中找到。關于 Allow Execution of JIT-compiled Code 的設置(官方文章[5])。最終只能卡到這里，若有大神能通過其他方式讀取 CLLocation 的真實定位(這是極其完美的解決方案)，還請不吝賜教。

附：

CLLocation 對象私有變量 _internal 實例對象的官方定義[6]：

1. @interface CLLocationInternal : NSObject { 
2.     struct { 
3.         int suitability; 
4.         struct { 
5.             double latitude; 
6.             double longitude; 
7.         } coordinate; 
8.         double horizontalAccuracy; 
9.         double altitude; 
10.         double verticalAccuracy; 
11.         double speed; 
12.         double speedAccuracy; 
13.         double course; 
14.         double courseAccuracy; 
15.         double timestamp; 
16.         int confidence; 
17.         double lifespan; 
18.         int type; 
19.         struct { 
20.             double latitude; 
21.             double longitude; 
22.         } rawCoordinate; 
23.         double rawCourse; 
24.         int floor; 
25.         unsigned int integrity; 
26.         int referenceFrame; 
27.         int rawReferenceFrame; 
28.     }  fLocation; 
29.     CLLocationMatchInfo * fMatchInfo; 
30.     double  fTrustedTimestamp; 
31. } 

1. @class NSData; 
2.  
3. @interface CLLocationMatchInfo : NSObject <NSCopying, NSSecureCoding> { 
4.  
5.     id _internal; 
6. } 
7. @property (nonatomic,readonly) long long matchQuality; 
8. @property (nonatomic,readonly) CLLocationCoordinate2D matchCoordinate; 
9. @property (nonatomic,readonly) double matchCourse; 
10. @property (nonatomic,readonly) int matchFormOfWay; 
11. @property (nonatomic,readonly) int matchRoadClass; 
12. @property (getter=isMatchShifted,nonatomic,readonly) BOOL matchShifted; 
13. @property (nonatomic,copy,readonly) NSData * matchDataArray; 

參考資料

[1]用代碼判斷 iOS 系統是否越獄的方法: https://www.huaweicloud.com/articles/7c6b8027253c4a97196d359840f638d9.html

[2]iOS 防黑產虛假定位檢測技術: https://cloud.tencent.com/developer/article/1800531

[3]Wifi 定位原理及 iOS Wifi 列表獲取: http://www.caojiarun.com/2017/01/iOS_Wifilist/

[4]Allow Execution of JIT-compiled Code Entitlement: https://developer.apple.com/documentation/bundleresources/entitlements/com_apple_security_cs_allow-jit

[5]Hardened Runtime: https://developer.apple.com/documentation/security/hardened_runtime

[6]_internal 實例對象的官方定義: https://github.com/nst/iOS-Runtime-Headers/blob/master/Frameworks/CoreLocation.framework/CLLocationInternal.h

原文地址：https://mp.weixin.qq.com/s/ZbZ4pFzzyfrQifmLewrxsw