从这次挂马事件看, iOS 也这么不安全吗?

2015-09-20 21:49:32 +08:00
 benmaowang
腾迅这篇文章 http://security.tencent.com/index.php/blog/msg/96 提到:

2 )黑客可以下发伪协议命令在受感染的 iPhone 中执行

黑客能够通过上报的信息区分每一台 iOS 设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过 iOS openURL 这个 API 来执行。

相信了解 iOS 开发的同学都知道 openURL 这个 API 的强大,黑客通过这个能力,不仅能够在受感染的 iPhone 中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方 APP 。


如果这是真的,挂个马都能做到这样,那岂不是所有 App 也都同样可以做到?那所谓的沙盒和审查还有什么意义。。。
9420 次点击
所在节点    iPhone
87 条回复
Anhedonia
2015-09-20 21:56:17 +08:00
你可以 Appstore 上下个 Xcode 然后试一试这么做
tianshilei1992
2015-09-20 22:01:38 +08:00
主要是这次这个攻击方式有些标新立异……
fantasy467047
2015-09-20 22:13:05 +08:00
ios 本来就不够安全,把控权都在苹果手上,苹果一出问题就是大篓子,除非默认苹果是神永远不出问题。

安卓反而更安全,流氓软件多,治流氓的工具也多,自己有能力把控的还是用安卓比较安全,没能力把控的就不要用安卓了,搞得好像安卓不安全似的,建议用 ios 让苹果来帮你把控。
ToysMall
2015-09-20 22:20:58 +08:00
@fantasy467047 嗯,照这个逻辑。

生活在不安全的某个城市,需要自己有能力保证自己的人身安全,否则还是离开算了。一些没有能力保护自己的人身安全的人,搞得好像这个城市自身不安全似的。还是趁早去美帝吧,不过美帝也不安全,除非美帝时神,能永远保护你。
fantasy467047
2015-09-20 22:24:48 +08:00
@ToysMall 你的逻辑还是比较差,你把流氓软件比喻成城市的不安全因素,那治流氓的工具呢?流氓小且分散,治流氓的工具集中且体量大。

按你这么举例, Android 就是一个正常的城市,有犯罪分子,但也有强大的政府警察;而 ios 则是监狱,没有任何不安全的因素,吃喝不愁。
razios
2015-09-20 22:27:49 +08:00
再不安全也比安全安全一点点
razios
2015-09-20 22:27:57 +08:00
@razios 安卓
ToysMall
2015-09-20 22:28:44 +08:00
@fantasy467047 Android 就是一个正常的城市,有犯罪分子,但大部分人得不到保护,只有权重之人和少部分人能受到保护,免遭犯罪分子毒手。而 iOS 也是一个正常的城市,虽然也有犯罪分子,大大多数人都能收到保护。
yexm0
2015-09-20 22:29:49 +08:00
发现有些人的眼里除了中国就只有美国
jamesfjx
2015-09-20 22:32:30 +08:00
@fantasy467047 这样说的话,美国最安全的城市就是巴尔的摩和底特律咯?我听说底特律的房子好多都几美元一套,还不去来一打?
processzzp
2015-09-20 22:34:00 +08:00
@ToysMall @ToysMall 系统是人写的,不是神写的。只要有人肯去挖肯去动脑筋,总能找到漏洞的。何况 iOS 用户这么多,找到一个有效的。攻击方法能获利多少你知道么?被人盯上实在是正常不过的事情了。不管是 iOS 还是 Android 乃至 WP 也好,只要出现了漏洞能及时修复就是好的好

至于什么监狱城市之类的话,真是幼稚的可以
fantasy467047
2015-09-20 22:34:32 +08:00
@ToysMall 这个例子就不错,事实上 IOS 是适合大部分人的系统,而 Android 是需要一定能力才能玩得来的系统,虽然 Android 这个城市有能力得到保护的人也有能力做更多的事。
quericy
2015-09-20 22:56:52 +08:00
@yexm0 除了 iOS 就只有安卓....wp 默默的路过,不安全是啥
chmlai
2015-09-20 23:06:16 +08:00
关键是沙盒没被攻破都还好.
hoogle
2015-09-20 23:14:42 +08:00
说得有点过头了, 最实际的危害可能骗取 apple id 和密码, 至于其它,都在沙盒里不会有什么太大问题。 openURL 只是调起其它应用的功能,不会在用户不允许的情况下有实际的操作,比如打电话, 最多弹出是否拨打 xxx 的对话框。
crab
2015-09-20 23:26:55 +08:00
这个能被控制的前提应该需要运行着这个 app 吧?
如果只是安装了,但没运行还能接收远程指令?
xiaozuo
2015-09-20 23:33:58 +08:00
@processzzp 赞成,安卓苹果 WP 能及时把补丁送到用户手上才能说安全,至于自己把控手机能让手机更安全的说法,以大多数人的技术实力,都是痴人说梦罢了,最牛的程序员都无法保证自己不中照.
xiaozuo
2015-09-20 23:37:31 +08:00
openURL 能做的最多也就是打开网页还有 app ,之后就无法操控了,打电话和发短信目前看来是没有证据的,而且我认为苹果应该是有能力阻止正常 app 的恶意使用这个参数,毕竟既然开放了,苹果的尿性不大可能没考虑过安全问题
xiaozuo
2015-09-20 23:45:47 +08:00
@fantasy467047 以大多数人的能力之低,能掌握一个系统的安全性都是痴人说梦,包括绝大部份非安全方向的程序员,能真正杀死一个未发现病毒的程序员,不会很多,但是如果都被大众发现了,那么肯定对应厂家都会有方案
mrjoel
2015-09-20 23:47:50 +08:00
从来就没有什么安全

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/222251

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX