JSPatch 有安全漏洞？

zhouzm

2016-01-30 13:39:08 +08:00

你看看作者自己是怎么分析安全风险的：
http://blog.cnbang.net/works/2767/

chmlai

2016-01-30 13:41:02 +08:00

Apple 允许 app 动态下载可执行代码就应该预想到这种事

Ixizi

2016-01-30 13:48:35 +08:00

热更新需要保证从服务器下发代码不会被拦截，主要还是代码传输的一个加密吧。

StephenW

2016-01-30 14:16:15 +08:00

@chmlai 这并不是可执行代码，这是脚本

breezex

2016-01-30 16:55:56 +08:00

FireEye 所要表达的是恶意开发者会利用 JSPatch 的动态更新特性，往 APP 中插入恶意代码。。

breezex

2016-01-30 16:58:02 +08:00

原文： https://www.fireeye.com/blog/threat-research/2016/01/hot_or_not_the_bene.html

mornlight

2016-01-30 17:20:16 +08:00

下发脚本过程中可能会被恶意篡改，这个很容易理解和解决，不能叫 JSPath 有安全漏洞。

如果这个叫漏洞的话，我也可以说「中国几千万网站存在安全漏洞」，因为他们都是 http 的。

ichanne

2016-01-30 19:00:40 +08:00

@breezex 看了一下，确实是这个意思，那这就不是 JSPatch 的问题了。
Consequences: The app developer can utilize all the Private APIs provided by the loaded frameworks to perform actions that are not advertised to Apple or the users. Since the developer has control of the JavaScript code, the malicious behavior can be temporary, dynamic, stealthy, and evasive. Such an attack, when in place, will pose a big risk to all stakeholders involved.

hoogle

2016-01-30 19:48:24 +08:00

JSpatch 趟枪

pljhonglu

2016-02-01 10:47:30 +08:00

作者已经明确指出了安全风险，并建议加密 JS 或者使用 HTTPS ，开发者不重视有什么办法啊~

simon4761

2016-02-01 16:04:41 +08:00

Dispatch 好冤~

tedzhou

2016-02-02 13:16:47 +08:00

https 是必须的

tedzhou

2016-02-02 13:21:25 +08:00

@zhouzm
作者解释的 url 是这个:
http://blog.cnbang.net/internet/2990/

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/254434

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.