V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xcjzv
V2EX  ›  问与答

不懂就问,非 appstore 上架的,而是通过企业级证书,未获信任的 app,安全性与正常下载 app 相比,究竟有没有更大权限或后门?

  •  
  •   xcjzv · 2019-12-18 12:49:54 +08:00 via iPhone · 2882 次点击
    这是一个创建于 1825 天前的主题,其中的信息可能已经有所发展或是发生改变。
    沙盒机制应该突破不了吧?但知乎有说可以滥用 api 收集隐私。不懂求教
    10 条回复    2019-12-19 17:19:37 +08:00
    ft3100935
        1
    ft3100935  
       2019-12-18 12:56:42 +08:00
    有的,iOS 上很多私有接口都可以在企业包上使用的
    kera0a
        2
    kera0a  
       2019-12-18 13:07:37 +08:00 via iPhone
    就和普通 APP 一样,沙盒机制突破不了。
    能获取的隐私也很少吧,可以忽略
    不过他或许可以用不给隐私权限不让用的手段来拿隐私

    没越狱可以随意下载
    Leonard
        3
    Leonard  
       2019-12-18 13:22:22 +08:00
    私有 API 随便用啊,还有某些 Apple 不让获取的信息随便拿啊,比如手机的 UUID,MAC 地址等。
    xcjzv
        4
    xcjzv  
    OP
       2019-12-18 13:31:12 +08:00 via iPhone
    @Leonard @ft3100935

    请教下,私有 api 随便拿的话,这些企业级 app 有可能拿到哪些层面东西?键盘输入内容、微信聊天内容、浏览器访问内容、app 使用时间这些能拿到吗
    jiangyang123
        5
    jiangyang123  
       2019-12-18 14:00:10 +08:00
    没有审核
    sfz97308
        6
    sfz97308  
       2019-12-18 14:06:57 +08:00
    本质上跟 App Store 上的应用一样,也在沙盒里,没越狱的话拿不到其他应用的信息,包括你说的键盘、微信之类都拿不到。唯一的是可能会有私有 API。
    xcjzv
        7
    xcjzv  
    OP
       2019-12-18 14:13:16 +08:00
    类似问题两年前有部分讨论。允许屏幕快照、屏幕录制??看照片?监听你的流量数据? 9 楼图有点可怕:t/378616#r_4577761

    再想请教下:这些 app 取得私有 api 有什么危害吗?具体这些能拿到什么? @sfz97308
    passerbytiny
        8
    passerbytiny  
       2019-12-18 14:19:56 +08:00
    通过企业级证书,未获信任,这是矛盾的。你安装了企业证书,就意味着你信任该企业证书授权的所有 APP。哲学上就是这种思路,技术细节上通常都有出入,但出入不会太大。

    另外,在技术上,通过企业证书安装的 APP,不应该跟商店下载的 APP 做对比,而应该跟系统内置 APP,甚至系统本身做对比,沙盒机制此时不完全起作用,甚至完全无效。
    xcjzv
        9
    xcjzv  
    OP
       2019-12-18 14:43:44 +08:00 via iPhone
    @passerbytiny 这种 app 能突破沙盒 访问我其他 app 的内容??
    sfz97308
        10
    sfz97308  
       2019-12-19 17:19:37 +08:00
    @xcjzv 那个 9 楼的图片,并不是只靠企业证书就能做到的,那是苹果提供的 MDM 方案,给大企业管理企业内部设备的: https://support.apple.com/business

    私有 API 我也了解不多,像一些设备信息、电池信息、系统日志应该可以拿到,好像还能拿到一些系统内置应用的信息,比如 Books 里的图书列表。可能还是能玩出些花样来的吧。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4058 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:07 · PVG 12:07 · LAX 20:07 · JFK 23:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.