这是一个创建于 3618 天前的主题,其中的信息可能已经有所发展或是发生改变。
前言
楼主自己长期使用 AppStore 以及知道 AppleID 系统的各种好处,所以本文仅讨论这一类软件是否安全,无需再重复使用 AppleID 及 AppStore 有什么好处
正题
前不久一同事给妹妹买了一个 iPad,小妹妹觉得 AppStore 太慢,以及每十分钟就要输入一次密码,而密码又要求大小写+数字,嫌按起来麻烦,当然更重要的原因也包括了 很多游戏是要付费的,于是要求给安装了一个 *快X助手*,为了避免被说是广告,此处轻微打码。这玩意确实可以免费下载各种收费的 APP,例如很好玩的纪念碑谷(这游戏真心好玩)。
问题
- 如果一台全新的 iOS 设备,从未使用 AppleID 登录 AppStore 购买任何 APP,全部 APP 都是透过这一类(包括但不限快X助手)软件进行下载的,那么有没有什么安全问题?
- 或者,类似 QQ / 微信 / 支付宝 / 淘宝,这一类涉及账号安全的 APP 全部从 AppStore 下载,而其它“快餐软件”例如游戏什么的,使用这一类助手下载,又有没有什么安全问题?
第 1 条附言 · 2014-12-27 10:07:08 +08:00
PS.
很多朋友觉得本帖是讨论盗版,我深知 v2ex 不讨论盗版这一点,同时我对这一类助手就是盗版这个观点没有异议。
但是我发帖的目的是想讨论一个安全性的问题,不管你认为安全与否,都可以说出原因(参考 7 楼和 11 楼)。而如果只丢下一句盗版怎样怎样,那么是没有意义的。
另外请 @livid 或其他版主出来判定吧,如果觉得这帖子乱了 v2ex 的氛围,那么请拉到小黑屋,我完全理解。
很多朋友觉得本帖是讨论盗版,我深知 v2ex 不讨论盗版这一点,同时我对这一类助手就是盗版这个观点没有异议。
但是我发帖的目的是想讨论一个安全性的问题,不管你认为安全与否,都可以说出原因(参考 7 楼和 11 楼)。而如果只丢下一句盗版怎样怎样,那么是没有意义的。
另外请 @livid 或其他版主出来判定吧,如果觉得这帖子乱了 v2ex 的氛围,那么请拉到小黑屋,我完全理解。
 |
1
Dreista 2014-12-27 09:38:19 +08:00
安全问题先不提,三天两头闪退受得了?
|
 |
2
abelyao OP @Dreista 会闪退吗?可能之前她下载的都是几个游戏,没有长时间玩吧(通讯类和购物类的我用 AppStore 给下载好了)
|
 |
3
zzutmebwd 2014-12-27 09:43:40 +08:00 via Android
不讨论盗版,谢谢。
|
 |
4
waterfront 2014-12-27 09:44:29 +08:00
这里好像不让交流盗版。
|
 |
5
knightluffy 2014-12-27 09:45:19 +08:00  1
又想免费蹭吃蹭喝,又想保证自己安全不被人打,除非店是你开的,否则,在我朝是不可能实现的。。
|
|
6
abelyao OP |
 |
7
lovereimu 2014-12-27 09:48:07 +08:00 1
理论上不越狱,app之间的数据是独立的,所以没什么问题
|
 |
9
PhilCai 2014-12-27 09:52:03 +08:00 via iPhone
盗版可耻
|
|
10
abelyao OP @zzutmebwd @waterfront 那就赶紧让版主来移走吧,免得乱了 v2ex 的氛围,我也理解。
|
|
11
Dreista 2014-12-27 09:52:26 +08:00 1
@abelyao 凡是有同学从XX助手里下东西的,就会闪退,无一例外。另外正如楼上几位所说,盗版也是问题。
至于安全问题,恩,会给手机里安装个描述文件。不多说。 |
|
12
abelyao OP @Dreista 这个才是重点回复,本帖有你这条回复我也满足了,@livid 赶紧来移走帖子吧,免得讨论个安全问题都要被强调几百次盗版,说得好像前不久的大事件 mac 第三方下载 app 就不是盗版一样
|
|
14
abelyao OP @wangqj 我对此没有异议,但我本帖的目的是想讨论这一类是否安全,如果不安全,是因为什么不安全(参考11楼的正经回复)而不是丢一句盗版怎样怎样这种没有意义的回复。
|
 |
15
ysz1996 2014-12-27 10:06:24 +08:00 via Android 1
助手完全可以添加一些你根本不知道的东西,而且要装必须越狱,天知道里面有什么,越狱的iOS是最不安全的系统,还有百度WireLurker 360 麦芽地
|
|
16
ysz1996 2014-12-27 10:06:53 +08:00 via Android
还有不想被强调盗版就别用啊
|
 |
18
Francost 2014-12-27 10:23:25 +08:00 via iPhone 1
抛开其他不说,你不知道助手类的软件给你安装的描述文件有什么问题,所以,还是用ID登陆商店下载吧
|
|
19
abelyao OP @Francost 发帖的时候没想到描述文件这件事,不过我也挺好奇的,iOS 在其它操作上都会弹出授权提示,但增加描述文件这事却经常默默的被增加了
|
 |
21
riophae 2014-12-27 10:34:47 +08:00 1
这台 iPad 有 TouchID 吗? 有的话从 App Store 下载应用就不被输密码了..
|
 |
23
cattyhouse 2014-12-27 10:41:21 +08:00 via iPhone
@riophae 输密码不是问题,关键人家不愿意花钱。
|
 |
24
min 2014-12-27 11:02:33 +08:00 via iPhone 1
水果家的apo store最安全,其他都不安全
|
 |
25
icodesign 2014-12-27 11:16:25 +08:00 1
他用企业签名安装的东西能信任? 谁知道改没改什么东西, 留没留后门, 私有API也可以使用(私有API可以干很多事情)
|
 |
26
icemilk00 2014-12-27 11:26:35 +08:00 via iPhone 3
作为一个ios从业者来回答,安全问题应该是不用担心的,无论任何渠道,ios的sdk已经基本保证了绝大多数的涉及隐私的api无法使用。还有第三方渠道的并不一定都是盗版,有些公司的app首发也会选择第三方渠道,所以楼主不用太担心
|
 |
27
ilili 2014-12-27 11:33:46 +08:00 via Android 1
用過所謂「不越獄用正版」的愛思助手和屁屁助手。用它們是因為iPad 1沒法正常用AppStore。用了幾天受不了那提心吊膽,在優酷、微博輸密碼時那種提心吊膽,然後刷機了,老老實實用iTunes來裝應用。
|
 |
30
a154312237 2014-12-27 12:31:05 +08:00 via iPhone 2
除非越狱 否则没风险的,这个也不算漏洞 只是让有些人钻了空子罢了 ,(还有因为为你的主题内容已经说明你已经置身事内了所以大家会觉得你是为了使用盗版来发贴的)
|
 |
31
whatsdjgpp 2014-12-27 12:46:54 +08:00
又想免费, 又想安全
|
 |
32
nAODI 2014-12-27 13:07:44 +08:00 6
狭义的说,对你朋友妹妹这种普通用户而言没有太大安全问题(至于我是怎么定义这种普通用户的,可参考本段末尾)。因为应用与应用之间不联通各自在沙盒里,这些助手在不越狱的前提下也碰不到底层,何况像你朋友妹妹这类如果连多输入几次密码都无法忍受的普通用户,估计她的支付宝账户等服务的密码其实会被分分钟破解或者早被撞库。但有个不容忽视的问题是,在你没发知道和控制你朋友的妹妹怎么去用的情况下,你实际上已经承担有一份责任(见下文)。
广义的来说,建议楼主引导朋友弃用这些助手。 这类助手软件的原理往往是:利用苹果的企业版账号,自己来给应用签名,然后就可以分发给使用助手软件的用户使用。 所以,理论上这类软件上的每一款应用,都已经不是原来的应用,助手厂商或者任何有技术能力的第三方都可以出于自己的目的来给助手里的应用添上点自己的「料」。这也是会导致应用莫名奇妙闪退,设备莫名奇妙下载一些垃圾应用,莫名奇妙自己的 Apple ID 被用来刷评论等等的原因。 更明显的危害则是:用户在这些盗版应用内输入的信息都有可能被第三方截获,机器的基本信息(UDID之类)也很容易被获取,Apple ID 就更不用说了。 考虑到是你帮朋友按上这软件的,到时候有任何莫名其妙的问题朋友只能来找你而无法从苹果官方支持那里得到帮助。浪费楼主的精力是一方面,如果未来碰到楼主也搞不定的问题,楼主很可能会遇到「人家都能免费玩游戏,我有好多想玩的玩不了,机器还老死机。去苹果店人家说机器被装了盗版软件,会有很大很大危害。楼主看起来好厉害,其实只会些三脚猫功夫乱弄。」这种里外不是人的境况。 就我个人来说,即便楼主再理性地讨论这个问题,抱歉还是只能对楼主投以负面的情绪:楼主如果是自己想用那只能说是价值观的问题,但楼主竟然是去帮关系并不那么近的朋友,那只能说楼主的选择是相当愚蠢和短视。 |
 |
33
imn1 2014-12-27 13:19:46 +08:00
|
 |
34
yushiro 2014-12-27 13:32:41 +08:00 via iPhone
我只说一句,iphone丢了之后,不要被人钓鱼邮件骗到appleid的密码。各种敏感信息都可能被这种xx助手上传
|
|
36
ilili 2014-12-27 13:45:56 +08:00 via Android
@Heng Android root时都会同时装上权限管理,所以觉得还好吧…iOS则没有,所以担心。越狱后我只装了ShadowSocks。不越狱的助手是用企业证书啥的直接装APP总觉得不安全…
|
|
38
riophae 2014-12-27 14:01:53 +08:00
@nAODI
这类 "助手" 软件其实是没办法利用你机器上登录的 Apple ID 来刷评论的, 毕竟拿不到密码. 丧心病狂的是有些软件允许你自己在软件里保存 Apple ID 和密码, 这样一来用助手就能更新那些来自 App Store 的正规应用了! 但是! 其实是他们把账号拿去刷榜刷评论了! 更有甚者, 比如说 "X马助手", 直接提供给你事先注册好的 Apple ID.. 到底是何居心你已经明白了吧. 哪有白来的好事. |
 |
39
efin 2014-12-27 15:32:56 +08:00 2
其实我理解LZ的这个事儿,IPAD在一些中老年人手里,觉得不好用,很大程度上是因为下载应用很不方便。有时候用这些助手只是为了更方便的下载应用。
|
 |
40
orvice 2014-12-27 15:34:29 +08:00
肯定不安全。。
|
 |
41
ybh37 2014-12-27 16:16:47 +08:00 1
我仅仅是从技术方面来说,不是教大家盗版
事情是这样的,apple分别在Win和Mac系统下各开发了一套iTunes,linux下的一些高手感觉憋屈,于是通过研究其通信协议,开源了一个 libimobiledevice 的东西,这就是这些×助手的技术基础。 至于是否安全,要看这些软件的职业道德和企业操守。 |
 |
42
libotony 2014-12-27 18:41:44 +08:00
@ysz1996 越狱没有不安全,安全与不安全在于使用习惯,越狱不是为了盗版而生,用盗版源跟用xx助手是差不多的,而且可以肯定的是,盗版源的插件安全风险绝对高
|
 |
44
dorentus 2014-12-27 21:44:05 +08:00 1
通过它们安装的应用可能会被修改。比如我可以下载一个应用,修改后用我的企业分发账号的开发者证书重新签名,然后你只要信任我的证书,就能成功装上(非企业分发账号其实也可以这么干,只是需要预先添加目标机器的 UDID,且有数量限制)
然后如果你的设备没越狱,那么应该还好,这个应用里的数据有可能会被监听或篡改,然后可能它里面会用一些私有的 API,苹果对这些 API 并没有很认真地作过安全评估(因为毕竟 App Store 上的应用理论上都不能用它们),所有没准会有些能取到什么隐私信息、或者引起系统不稳定的;如果你的设备越狱了,那么自求多福吧…… |
 |
45
wheatcuican 2014-12-27 21:54:49 +08:00
@efin 这话说的太赞了!
|
 |
46
loading 2014-12-27 21:57:12 +08:00 via Android
修改一个app并不难,而让你安装这个app是很难的,但现在有渠道了。
别提修改了,写一个新的流氓app,也许根本不能app store,但国内市场稍微给点小费,呵呵。 |
 |
47
jaylong 2014-12-28 00:41:13 +08:00 1
|
 |
48
manhan9100 2014-12-28 01:22:01 +08:00 via iPhone
使用未经过苹果审核的应用之前想想之前WireLurker。
|
 |
49
canautumn 2014-12-28 02:02:26 +08:00
换带指纹识别的ipad
|
 |
50
Heavytiger 2014-12-28 09:53:42 +08:00 via iPhone
总之你的支付宝什么的应用别从某某助手下载就可以了。
|
 |
51
hzqim 2014-12-28 10:58:03 +08:00
远离助手,管家,卫士,大师
|
 |
52
Epsil0n9 2014-12-28 15:24:34 +08:00
想享受盗版就要有“被强X”的觉悟
|
Select Language