从这次挂马事件看, iOS 也这么不安全吗?

2015-09-20 21:49:32 +08:00
 benmaowang
腾迅这篇文章 http://security.tencent.com/index.php/blog/msg/96 提到:

2 )黑客可以下发伪协议命令在受感染的 iPhone 中执行

黑客能够通过上报的信息区分每一台 iOS 设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过 iOS openURL 这个 API 来执行。

相信了解 iOS 开发的同学都知道 openURL 这个 API 的强大,黑客通过这个能力,不仅能够在受感染的 iPhone 中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方 APP 。


如果这是真的,挂个马都能做到这样,那岂不是所有 App 也都同样可以做到?那所谓的沙盒和审查还有什么意义。。。
13896 次点击
所在节点    iPhone
87 条回复
Andy1999
2015-09-20 23:54:29 +08:00
你在中国
YuJianrong
2015-09-21 00:45:39 +08:00
@fantasy467047 说得好像你真的能把控安卓一样……难道阁下读完了 google 和所有厂商定制版的安卓代码找到所有漏洞并且下载到的 app 都完全反编译一遍找到了所有恶意使用的部分了?
至于依靠第三方安全 app ,那我只能呵呵了……
fantasy467047
2015-09-21 00:54:34 +08:00
@YuJianrong 又见抬杠逼,苹果了解 ios 所有的漏洞?那第三方是怎么越狱的?苹果反编译审核了所有上架 app store 的应用?就这两年,我见过太多 ios 上因为苹果的疏忽引起的问题,帐号登录没有谷歌那样的设备或者 ip 校验,导致只要拿到 icloud 密码就任意登录、各种字符 bug 等等,反而没见到过几次 Android 用户大规模遇到的什么问题,包括到处流传的恶意软件,我还真没见过有人装上过。

难道是跟风党从 qq 空间朋友圈微博跑到 V2EX 来了?
ffffwh
2015-09-21 00:58:10 +08:00
Mac/iOS 下的密码框确实有点.. 很多时候我觉得都能仿制。像 Windows UAC 的全屏变暗应该就不好仿制。

Windows 还有个选项可以要求输登录密码前按下 Ctrl-Alt-Del 。要不手机上弄一个输密码前按下电源键的机制?
fantasy467047
2015-09-21 01:00:39 +08:00
@hoogle 是的,在不开启二次验证的情况下, icloud 密码只要被别人拿到就任意登录,不像谷歌帐号,同样不开启二次验证的情况下,还需要符合以下条件至少一点,才能登录上去:
[1.在这台设备登录过此帐号; 2.在当前 ip 登录过此帐号]

在以上两种条件都不符合的情况下,谷歌会拦截此次登录并发送邮件到你 gmail 上。

所以 icloud 帐号密码的各种风险都是苹果没做好造成的,就别怪用户密码设置简单或者容易上当受骗了。
fantasy467047
2015-09-21 01:04:02 +08:00
@xiaozuo 从 symbian 用到 wm 再到 ios 、 android 、 wp ,智能手机我也用了近 10 年,还真没发现有病毒……
YuJianrong
2015-09-21 01:10:37 +08:00
@fantasy467047 难道 gmail 不要 google 帐号登录不成?照你这样说设备丢了而且是动态分配的 IP 那且不是玩完了?顺便 gmail 也是被盗号很多才变得安全一点的,以前盗号就很常见(本人也被盗过)。

当然这和主题无关。

我只是说你也掌握不了安卓安全,不是说苹果就能掌握 ios 安全,真不知道你怎么想的。只是要说对于你自己来维护安卓安全来说,我一点都不觉得比苹果来做更加安全。 apple 是有些众所周知的漏洞没错,那是因为全球所有人都在用一个 os 所以问题被极大放大了;安卓那么多定制 rom 定制商店修改过的非官方 app ,有问题又有多少人知道?
Koma
2015-09-21 01:13:54 +08:00
@fantasy467047 我怎么觉得 iCloud 也会有邮件提醒啊
fantasy467047
2015-09-21 01:16:20 +08:00
@YuJianrong 仅三星一家的全球份额就远超苹果,三星的 rom 被传出了多少问题?
fantasy467047
2015-09-21 01:16:42 +08:00
@Koma 不会拦截异常登录
Vicer
2015-09-21 01:24:48 +08:00
无聊。。。
zonghua
2015-09-21 01:32:40 +08:00
@fantasy467047 苹果的字符时常出现重大 bug
sixdian
2015-09-21 01:33:37 +08:00
总之谁的服务被 zf 屏蔽的多就用谁准没错,这样一来就算密码什么的暴露,获取敏感数据也有 gfw 这一关啊,我支持谁你懂的
cjjia
2015-09-21 01:39:53 +08:00
还记得前不久的艳照门,居然是因为简单暴力的撞库。

苹果只要一出问题,那影响范围就会很大,因为个体差异小,不像安卓,各个厂家定制修改。
honeycomb
2015-09-21 03:34:45 +08:00
@cjjia 和 IE 是一个道理
hx1997
2015-09-21 07:04:41 +08:00
没有绝对安全的系统到底要说多少次。。。这事让我想起 Ken Thompson 往 C 编译器里放后门的事,其实也不是什么新手法了,之前还有自动感染编译器的病毒,只是这次的影响范围比较大。
paulagent
2015-09-21 07:10:09 +08:00
这事和 apple 有什么关系吗? 楼主你到底了不了解这个事情是怎么发生
squid157
2015-09-21 07:45:08 +08:00
@ffffwh 我觉得 Windows 下面可以要求 Ctrl-Alt-Del 真是非常优秀的安全设计。这个东西只能系统捕获。
另一方面,无论 iOS 还是 OS X ,真是没觉得系统弹出的密码框有什么难以被山寨的地方。
yangff
2015-09-21 07:49:28 +08:00
安全的边界在于整个系统最薄弱的一环
比如:
傻逼开发者
再比如:
傻逼用户
popok
2015-09-21 08:00:19 +08:00
@fantasy467047 你这个逻辑相当厉害,在下跪了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/222251

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX