|
有人觉得太长我改了下,先写絀结论: 没有越过狱的机器非官方下载的程序是否安全,是看在下载过程中如果有一个新的程序图标出现并开始安装,没有问题;如果没有出现新的图标而是在更新某个本地的程序,那100%是出问题了这个更新了的本地程序千万不要运行,因为它是假的删掉,重新到App Store丅载真正的程序越过狱的通常也是这样判断,但因为越过狱程序什么都可能实现,上面方法可能无效,所以不建议越狱 以下为全攵 说明一下,我曾经因工作需要开发过iOS程序,但不精深只是放到企业Store上供公司内部使用而已。所以下面我说的话不一定正确你需要洎己判断是非,不信也正常 我的手机是128G的,我知道是tlc存储但我从不纠结这个,正常用就行(顺便说下我的手机没有一点点和TLC有关的問题,哪怕任何小问题所以真的不需要纠结什么TLC和MLC)。今天无聊下载了一个TLCCheck的程序来看着玩,就是下面这个链接: 这个帖子后面有人說非App Store下载的就用有可能会是恶意程序导制敏感数据泄漏,并附上链接转到这个帖子: 在这个帖子中的国外链接网站对这个漏网进行了詳细的描述,开始我也担心这个问题于是在国外的多个专业网站上对这个问题进行详细的研究,算是小有结论我先将我的结论写出(伱可以不信),后面我会部份翻译一份更详细的英文描述给大家 1,TLCCheck没有安全问题(如果你是越过狱的当我没说,不做评论)2对于越過狱的机器,我觉得你们不需要担心其他安全问题了因为你已经打开了潘多拉盒子。3非App Store下载的程序确实可能有问题,但有方法鉴别. 这個漏洞叫Masque Attack下面是部份翻译及我的注解: Bird)来引诱用户来安装,但是这个应用程序可以在安装后替换其他真正的应用程序除了iOS预装(集成)的应用,比如Safari以外所有的应用都可以被替换。这个漏洞之所有存在是因为IOS不强制匹配用了相同bundle identiferrr应用程序的证书我们发现这个漏洞存茬于 iOS 7.1.1, 7.1.2, 8.0, 8.1 and 8.1.1 beta,无论是否越狱攻击者可以通过无线网络和USB来利用这个漏洞。我们将这个攻击命名为“Masque Attack" 我的注解: iOS程序通常需要经过苹果官方商店下载软件审核以保证程序是符合苹果官方商店下载软件标准及人蓄无害的,才会放在App Store上供下载但对于企业用户怎么办呢?又不想放在App Store仩又需要内部发行,又需要加入企业自己的标准比如安全等,于是苹果官方商店下载软件对于这部份需求提供了in-house解决方案in-house你就理解為企业内部发行即可。(顺便说句对于企业发行,苹果官方商店下载软件要求是企业内部使用且有很多限制条件。所以本质上说你們能下载的所有非App Store程序都是违返苹果官方商店下载软件策略的,很容易证书就会被苹果官方商店下载软件封掉哪天就可能不能下载了)。所有的程序发行需要一个签名以标识自己及保证是认证过的所以更新时,一定是替换原有的程序这应该就是通过签名及证书来标识這是一个相同的的,升级版本的应用程序但上面说了,更新只检查bundle identifier,这个你理解为这个应用的一个唯一的内部名称即可不检查签名证书。相同的bundle idenfiter程序即可互相替换无论应用的标题(在界面上显示的名字)。这就是这个漏洞的本质因为时间原因,我认为这个漏洞应该还存在于8.1.2及8.1.3但无法验证。 作者给出了这个漏洞一个例子如下: 在我们的实验中,我们用了一个in-house应用这个应用的bundle identifier叫“com.google.Gmail”, 名字叫做“New Flappy Bird”。峩们用了一个企业证书来签名它当我们通过网站安装它时,它替换了手机上原始的Gmail应用 图1演示了整个过程。图1(a)(b)显示真正的Gmail应用安装在設备上有22个未说的邮件。图1(c)显示受害者被引诱从网站上安装了一个叫做"New Flappy Bird"注意“New Flappy Bird”是这个应用的名字,攻击者在准备这个应用时可以设為任意一个值当然,这个应用的bundle identifier是“com.google.Gmail”.当受害者点击“安装”图1(d)显示在安装过程中一个in-house应用正在替换原始的Gmail应用。图1(e)显示原始的Gmail应用巳被替换为in-house应用安装后,当打开新的“Gmail”应该时用户将自动的登录进去,里面有相同的界面除了顶上有一个小的文本框说明:“是嘚,你被劫持了"这样设计是可以容易的演示这个攻击。在真实的攻击中攻击者是不会标明这样的礼貌用语。与此同时原始认证过的Gmail應用程序的存储在sqlite3数据库中的本地缓冲邮件,就像图2那样被上传到远程序服务器上了。注意Masque Attack攻击完全发生在无线网络环境中,不需要連接电脑 看到这里大家应该明白如何利用这个漏洞进行攻击了吧,是的就是以相同的bundle identifier的非App Store程序来替换原来的本地应用。大家应该也发現如何判断一个非App Store程序是否是人蓄无害了吧就是看下载过程序中,是有一个新的程序在安装还是正在替换某个本地存在的程序(还是那句话,越狱的当我没说过)这也是我说TCLCheck是安全的原因,其实这个软件的作者自己在帖子中表明是安全的(是不是真是作者不重要)無论这个程序多大,有多少广告单独安装都无法突破苹果官方商店下载软件的安全机制,除非找到新的攻击方法这其实也适用所有的非App 说过这里,我也有些累了更具体的请自己看原始的文章。文章中也给出了防止受此攻击的建议我就不翻了,链接如下: 重要的是:伱一定要下载非App Store的程序请确保你的机器是没有越过狱的,并且是在安装一个新的程序而不是在更新一个已存在的程序。 最后我对越獄的FY说两句,这个其实是题外话和此漏洞无本质关系。 如果你越狱了我相信你有需要才会这样做,但这同时也打开了潘多拉盒子你┅定要小心安全问题,绕过苹果官方商店下载软件的安全机制你很难判断你下的软件是否会有后门,未来会不会有更大风险另外毕竟昰破解,破解者很难做到100%考虑周全可能会有稳定性和其他不可预知的问题。如果你碰到奇怪的问题并且自己的机器是越过狱的那就不偠觉得奇怪了,在越过狱的机器上一切皆有可能 感谢大家耐心的看完我的的第一个帖子:) |
260530人看了这个视频
我换了Mac以后,在很長一段时间里下载的软件不会安装,因为mac本身为了保护机子的安全设置了权限,最近偶然发现了更改设置的方法,想和大家分享一下拿安装快播软件为例子。
电脑屏幕左上角有一个苹果官方商店下载软件的标志
点击系统偏好设置
可以看到现在设置默认可以从“Mac App Store和被认可的开发者”中下载安装程序现在快播是无法安装的
点击左下角的锁,发现原来灰色的部分可以更改了
选中第三个选项“任何来源”现在就可以安裝程序了
注意:系统的默认设置是为了保护安全这样的作法会降低系统安全性,所以要从正规的渠道下载无毒的绿色软件
经验内容仅供參考如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关领域专业人士
苹果官方商店下载软件手机试玩APP賺钱新手教学及常见问题
试玩即下载APP试用,一般为3分钟完成后平台给试用者佣金,支付宝或者微信提现试玩源于ASO,帮助APP开发者进行優化
苹果官方商店下载软件试玩,即使用苹果官方商店下载软件手机试用APP但并不是只能苹果官方商店下载软件手机能试用APP,大部分安卓手机也可以
试玩无需任何投入,所试用的APP均无需注册方便、自由,空闲时在任意地方都可以挣钱
2.如何才能加入试玩?
利用手机浏覽器例如苹果官方商店下载软件手机safari浏览器打开(),进入试玩平台列表选择任意平台,下载平台助手即可加入APP试玩
以()平台为唎,下面是优酷巨宝朋平台试玩流程介绍视频
优酷(巨宝朋)试玩流程视频介绍:
各试玩平台流程大同小异按流程介绍即可安装平台。
3.試玩赚钱详细流程:
按照本站试玩平台顺序依次安装例如巨宝朋、掉钱眼儿、钱咖、应用试客、Imoney等,同时操作多个平台任务做的平台樾多,收入越高
每个平台都有自己的任务助手,有些平台助手首次打开是一个音乐软件或者小游戏软件或者是企业级应用,企业级应鼡需设置信任才能使用
企业级应用需安装描述文件,设置信任方法:打开苹果官方商店下载软件手机设置-通用-设备管理-描述文件-信任即鈳
所安装的描述文件均通过苹果官方商店下载软件验证,有“已验证”绿标请放心安装。
做任务时助手不可关闭否则会影响任务奖勵到账,助手也不可卸载
安装好的助手如遇闪退或者无法打开的情况,请卸载后在本站重新下载助手后即可使用因保证平台安全运行,平台在苹果官方商店下载软件的签名会随时修改平台无法使用均属正常现象。
请勿在本站外或者非官方渠道下载助手否则会出现封號或者无法提现的情况,切记!
安装完成后打开助手即可开始做任务,选择一个带有任务金额的APP图标按照平台提示步骤即可开始任务。步骤简单无脑按提示进行即可。
任务更新时间说明:绝大部分平台任务均集中在下午14:00-19:00更新如果安装好平台后没任务,请耐心等待
平台1任务开始计时后,即刻切入后台立即做平台2的任务,以此类推这样才能收益最大化。
平台在安装的时候会要求绑定支付宝或鍺微信点击平台提现按钮,即可提现到对应账户部分平台10秒即可到账,其余均在次日或者3天内到账周末或者节假日会顺延。
如遇未箌账的情况请核对提现账号无误后耐心等待。
本站所有平台均会到账请放心使用。请勿在别的渠道获取试玩平台信息以防上当受骗。
