iPhone 信任公司私有 App 会有哪些额外的安全和隐私风险?

2021-10-10 11:38:44 +08:00
 abccba

首先,我承认自己有被害妄想症,认为我反应过度的,或者觉得没必要那么在乎隐私或安全的,出门左转谢谢。不要针对这一点抬杠,不要针对这一点抬杠,不要针对这一点抬杠。

因为楼主不是专业人员,所以请教下懂这块技术的人士。从技术角度来讲,信任这些私有 App 会有哪些风险?

本帖主要是希望从技术角度讨论相关问题。假设公司私有 App 要做恶,它能够造成哪些破坏以及原理?

“公司私有 App”:这里就不截图了,懂的自然懂(这句话怎么听着有点耳熟呢)。首次使用时,iOS 会提示“未受信任的企业级开发者 xxxxxx”。

我能理解的第一层风险就是这些 App 精心利用了 iOS 的漏洞,因为完全不受监管,更有可能这样做。当然,从 App Store 下载的应用其实也同样问题,或者手机浏览器打开某个网页就中招了。

从网上看,这些 App 仍然受到 iOS 沙盒机制的约束,但不上 App Store 可以更自由地调用一些私有 API,那么是否有哪些私有 API 被滥用时会威胁到用户的安全和隐私呢?

假设我们先不考虑 iOS 的漏洞,还存在哪些安全和隐私风险?( PS:我这里提到的“安全“和“隐私“可以分开考虑)

了解很有限,希望懂这块的大佬分享下相关经验。

谢谢!

11750 次点击
所在节点    iPhone
22 条回复
xenme
2021-10-10 11:42:16 +08:00
权限大到可以控制整个手机(可以访问普通 app 用不了的 app,而且可以后台限制或者抹除你手机),小到跟普通应用一样,只是私有分发。

这么看重的话,建议双持,完全分开。
alfchin
2021-10-10 11:42:17 +08:00
某一年,越狱 app 就是靠企业证书部署的
xenme
2021-10-10 11:42:43 +08:00
s/app/api/g
Gouzhi
2021-10-10 11:47:16 +08:00
我司就是这样,所以我弄了个 se 双持
abccba
2021-10-10 11:58:28 +08:00
@xenme 谢谢,确认下“后台限制和抹除手机”是利用了 iOS 的漏洞吧?
abccba
2021-10-10 12:00:19 +08:00
@alfchin 先部署,然后呢?然后利用漏洞提权?(纯小白,说错了求指正,主要是没看懂您这条回复的用意)
abccba
2021-10-10 12:03:00 +08:00
@Gouzhi 当前是双持,想着如果风险可控,免得带两个手机就都装一起好了。。。

想起来之前不记得在哪里看到,有网友说,即便是 iPhone,装了私有 app 、信任了私有证书,使用其它 app 也可能被同机的私有 app 探知到相关信息(具体没说,我也记不清了),所以谨慎起见先来问问专家们。
frqk
2021-10-10 12:03:36 +08:00
是 mdm,不是漏洞。
jiangyang123
2021-10-10 12:19:04 +08:00
不是漏洞,这是给企业 app 的权限

相当于电脑上的行为管理系统
wheeler
2021-10-10 12:37:24 +08:00
https://v2ex.com/t/772883#reply5

😄,我也问过。
abccba
2021-10-10 12:39:25 +08:00
@wheeler 😅,刚才还 site:v2ex.com 搜了下,居然没发现。。。 谢谢
xenme
2021-10-10 13:27:09 +08:00
另外,profile 也都告诉你了,他能控制哪些内容,完全没啥特别的必要担心。

所有这些都是 Apple 提供的功能
billlee
2021-10-10 14:58:27 +08:00
可以往系统上添加无法移除的根证书,可以后台激活 VPN 劫持流量。
Cielsky
2021-10-10 15:34:12 +08:00
这就得公司发个手机,不发手机要求安装就是耍流氓
winglight2016
2021-10-10 17:44:04 +08:00
@jiangyang123 没错,还有个名字叫 Bxxx,专门是给移动设备做企业网络安全的方案,在牢厂体验过,安装的手机基本上没有任何隐私了,而且相当于开了一个超级后门。
Jooooooooo
2021-10-10 18:45:45 +08:00
你要认为你所有的行为公司都知道.
abccba
2021-10-10 19:32:17 +08:00
@frqk @jiangyang123 @xenme 几位说的是 https://support.apple.com/zh-cn/guide/mdm/mdmbf9e668/web 吗?这个和安装并信任公司未在 app store 上架的私有 app,不是一回事儿吧。。。
Maskeney
2021-10-10 22:23:03 +08:00
楼上一群人说的根本就不是一个东西好吧,楼主问的显然是装一个通过企业证书分发的 App,而不是 MDM,自己搞不清楚就出来危言耸听可真的是失智行为
wdlth
2021-10-10 22:52:36 +08:00
企业级 App 可以用一些私有的 API 去获取一些信息,不过没有 MDM 的话也控制不了设备。
dingwen07
2021-10-11 01:15:32 +08:00
苹果应该还有一到两个任意代码执行的漏洞没有修。这些漏洞被苹果认为是“安全的”,因为 App Store 审核机制会检查调用了这些漏洞的应用程序。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/806820

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX