网红当道，越来越多的产品也随波开启了单口相声模式，一向严谨的苹果也不例外。虽然每...
北京时间9月14日凌晨，苹果非常准时地向iPhone、iPad以及iPod touch用户推送了iOS 10...
回首过去20年，游戏作为一种娱乐方式改变大家生活，在未来游戏将继续改变我们的娱乐体...
正如每一次的系统版本更新那样，用户们对新的系统总会有一些顾虑和犹豫。
系统升级到iOS 10后，究竟会有哪些革新与进步？
一些使用老设备的用户表示，iOS 10 升级之后确实比较卡，有的甚至表示，等待 iOS 10.1...
你觉得苹果的智能手表是叫 Apple Watch 还是 iWatch 更好听一点？
旗下的 LTE 调制解调器芯片登陆 iPhone 7 对于英特尔来说是一次关乎生死的决定，这或...
来自宝岛台湾的游戏厂商硕辣椒（SO-CAYENNE）最近在 App Store 上架了一款全新的冒险...
近日，游戏开发商Boomzap在苹果商店当中推出了其新作《科艾斯亚的传奇（Legends of Ca...
《熊猫博士讲卫生》能够帮助孩子在四岁到五岁这样一个黄金时期养成良好的卫生习惯，从...
近日，游戏开发商Foursaken Media在苹果商店当中推出了一款休闲射击新作《彩色机器人...
有一句话叫“我们都已经过了和别人拼记忆的年龄了”，那么该拼什么？我想应该是积累吧...
近日，游戏开发商Run Games在苹果商店当中推出了其橄榄球运动新作《橄榄球英雄PRO 201...
《大航海之路》是由网易开发的首款3D航海冒险类手游，最早解开神秘面纱还是在今年网易...
W1 芯片不仅有助于传输高品质音频，而且还带来了行业内最出色全自动的设置方案，以及...
遗憾的是苹果没有一并推出一款光滑的亮黑色基座，原来的深空灰色基座得到了保留。
AirPods任务是将数以亿计的有线耳机扫入历史的垃圾箱。走出这一步后，苹果站到了新的...
不过稍显遗憾的是，并未推出iPhone 7的版本。
或许这将是全球首款内置DAC（数字模拟转换器）和LAM模块（lightning audio module)的...
这款产品能够将 iPhone 7 手机上的 Lightning 接口变成两个，可以在听音乐的同时给手...
有观点认为，苹果此次大举进军无线耳机只不过是为了“勇敢地”开辟一块新的赚钱的沃土...
其实说了这么多话，归根结底还是三个字：买买买！
120733阅读
非AppStore下载的软件安全吗，给你答案
注册时间 最后登录
在线时间307 小时 UID
主题帖子人气
青苹果, 积分 120, 距离下一级还需 80 积分
本帖最后由 griffonfang 于
16:47 编辑
有人觉得太长，我改了下，先写出结论：
没有越过狱的机器，非官方下载的程序是否安全，是看在下载过程中，如果有一个新的程序图标出现并开始安装，没有问题；如果没有出现新的图标，而是在更新某个本地的程序，那100%是出问题了。这个更新了的本地程序千万不要运行，因为它是假的，删掉，重新到App Store下载真正的程序。
越过狱的通常也是这样判断，但因为越过狱，程序什么都可能实现，上面方法可能无效，，所以不建议越狱。
以下为全文
说明一下，我曾经因工作需要，开发过iOS程序，但不精深，只是放到企业Store上供公司内部使用而已。所以下面我说的话不一定正确，你需要自己判断是非，不信也正常。
我的手机是128G的，我知道是tlc存储，但我从不纠结这个，正常用就行（顺便说下，我的手机没有一点点和TLC有关的问题，哪怕任何小问题，所以真的不需要纠结什么TLC和MLC）。今天无聊，下载了一个TLCCheck的程序来看着玩，就是下面这个链接：
这个帖子后面有人说非App Store下载的就用有可能会是恶意程序，导制敏感数据泄漏，并附上链接，转到这个帖子：
在这个帖子中的国外链接网站对这个漏网进行了详细的描述，开始我也担心这个问题，于是在国外的多个专业网站上对这个问题进行详细的研究，算是小有结论。我先将我的结论写出（你可以不信），后面我会部份翻译一份更详细的英文描述给大家。
我的结论：
1，TLCCheck没有安全问题（如果你是越过狱的，当我没说，不做评论）
2，对于越过狱的机器，我觉得你们不需要担心其他安全问题了，因为你已经打开了潘多拉盒子。
3，非App Store下载的程序确实可能有问题，但有方法鉴别.
这个漏洞叫Masque Attack，下面是部份翻译及我的注解：
2014年7月，FireEye mobile security&&发现用企业或Ad-hoc provisioning 安装的iOS应用可能替换其他通过App Store安装的真正的应用程序，只要它们用了相同的bundle identifier.。 这个in-house 应用可以显示为任意的标题（比如 New Flappy Bird)来引诱用户来安装，但是这个应用程序可以在安装后替换其他真正的应用程序。除了iOS预装（集成）的应用，比如Safari以外，所有的应用都可以被替换。这个漏洞之所有存在是因为IOS不强制匹配用了相同bundle identiferrr应用程序的证书。我们发现这个漏洞存在于 iOS 7.1.1, 7.1.2, 8.0, 8.1 and 8.1.1 beta，无论是否越狱。攻击者可以通过无线网络和USB来利用这个漏洞。我们将这个攻击命名为“Masque Attack&。
我的注解：
iOS程序通常需要经过苹果审核以保证程序是符合苹果标准及人蓄无害的，才会放在App Store上供下载。但对于企业用户怎么办呢？又不想放在App Store上，又需要内部发行，又需要加入企业自己的标准，比如安全等，于是苹果对于这部份需求提供了in-house解决方案，in-house你就理解为企业内部发行即可。（顺便说句，对于企业发行，苹果要求是企业内部使用，且有很多限制条件。所以本质上说，你们能下载的所有非App Store程序都是违返苹果策略的，很容易证书就会被苹果封掉，哪天就可能不能下载了）。所有的程序发行需要一个签名以标识自己及保证是认证过的。所以更新时，一定是替换原有的程序，这应该就是通过签名及证书来标识这是一个相同的的，升级版本的应用程序。但上面说了，更新只检查bundle identifier,这个你理解为这个应用的一个唯一的内部名称即可，不检查签名证书。相同的bundle idenfiter程序即可互相替换，无论应用的标题（在界面上显示的名字）。这就是这个漏洞的本质，因为时间原因，我认为这个漏洞应该还存在于8.1.2及8.1.3，但无法验证。
作者给出了这个漏洞一个例子，如下：
在我们的实验中，我们用了一个in-house应用，这个应用的bundle identifier叫“com.google.Gmail”, 名字叫做“New Flappy Bird”。我们用了一个企业证书来签名它。当我们通过网站安装它时，它替换了手机上原始的Gmail应用。
图1演示了整个过程。图1(a)(b)显示真正的Gmail应用安装在设备上，有22个未说的邮件。图1(c)显示受害者被引诱从网站上安装了一个叫做&New Flappy Bird&。注意“New Flappy Bird”是这个应用的名字，攻击者在准备这个应用时可以设为任意一个值，当然，这个应用的bundle identifier是“com.google.Gmail”.
当受害者点击“安装”，图1(d)显示在安装过程中一个in-house应用正在替换原始的Gmail应用。图1(e)显示原始的Gmail应用已被替换为in-house应用。安装后，当打开新的“Gmail”应该时，用户将自动的登录进去，里面有相同的界面，除了顶上有一个小的文本框说明：“是的，你被劫持了&，这样设计是可以容易的演示这个攻击。在真实的攻击中，攻击者是不会标明这样的礼貌用语。与此同时，原始认证过的Gmail应用程序的存储在sqlite3数据库中的本地缓冲邮件，就像图2那样，被上传到远程序服务器上了。
注意，Masque Attack攻击完全发生在无线网络环境中，不需要连接电脑。
我的注解：
看到这里大家应该明白如何利用这个漏洞进行攻击了吧，是的，就是以相同的bundle identifier的非App Store程序来替换原来的本地应用。大家应该也发现如何判断一个非App Store程序是否是人蓄无害了吧，就是看下载过程序中，是有一个新的程序在安装，还是正在替换某个本地存在的程序（还是那句话，越狱的当我没说过）。这也是我说TCLCheck是安全的原因，其实这个软件的作者自己在帖子中表明是安全的（是不是真是作者不重要），无论这个程序多大，有多少广告，单独安装都无法突破苹果的安全机制，除非找到新的攻击方法。这其实也适用所有的非App Store程序。
说过这里，我也有些累了，更具体的请自己看原始的文章。文章中也给出了防止受此攻击的建议，我就不翻了，链接如下：
重要的是：你一定要下载非App Store的程序，请确保你的机器是没有越过狱的，并且是在安装一个新的程序，而不是在更新一个已存在的程序。
最后，我对越狱的FY说两句，这个其实是题外话，和此漏洞无本质关系。
如果你越狱了，我相信你有需要才会这样做，但这同时也打开了潘多拉盒子，你一定要小心安全问题，绕过苹果的安全机制，你很难判断你下的软件是否会有后门，未来会不会有更大风险。另外毕竟是破解，破解者很难做到100%考虑周全，可能会有稳定性和其他不可预知的问题。如果你碰到奇怪的问题并且自己的机器是越过狱的，那就不要觉得奇怪了，在越过狱的机器上一切皆有可能。
感谢大家耐心的看完我的的第一个帖子：）
, , , , , , , ,
<p id="rate_19404" onmouseover="showTip(this)" tip="威锋有你更精彩：）&人气 + 5
" class="mtn mbn">
<p id="rate_85625" onmouseover="showTip(this)" tip="虽然不懂在说什么，但是感觉好厉害的样子。&人气 + 7
" class="mtn mbn">
<p id="rate_18415" onmouseover="showTip(this)" tip="感谢分享^_^&人气 + 1
" class="mtn mbn">
<p id="rate_86201" onmouseover="showTip(this)" tip="我很赞同^_^&人气 + 1
" class="mtn mbn">
<p id="rate_8446" onmouseover="showTip(this)" tip="精品文章^_^&人气 + 10
" class="mtn mbn">
<p id="rate_77463" onmouseover="showTip(this)" tip="感谢分享^_^&人气 + 7
" class="mtn mbn">
<p id="rate_24079" onmouseover="showTip(this)" tip="感谢分享^_^&人气 + 2
" class="mtn mbn">
<p id="rate_89082" onmouseover="showTip(this)" tip="bak备用&人气 + 10
" class="mtn mbn">
<p id="rate_21219" onmouseover="showTip(this)" tip="一语惊醒梦中人！怪不得以前的5s越过狱再回来总是感觉不对劲，现在用6打死不越狱了.&人气 + 5
" class="mtn mbn">
<p id="rate_79713" onmouseover="showTip(this)" tip="搞不懂扣分技术贴的是什么心态&人气 + 5
" class="mtn mbn">
<p id="rate_19517" onmouseover="showTip(this)" tip="真日了狗了 这么长 谁看？&人气 -1
" class="mtn mbn">
<p id="rate_4358" onmouseover="showTip(this)" tip="感谢分享^_^&人气 + 6
" class="mtn mbn">
<p id="rate_91475" onmouseover="showTip(this)" tip="感谢分享^_^&人气 + 1
" class="mtn mbn">
<p id="rate_08492" onmouseover="showTip(this)" tip="精品文章^_^&人气 + 5
" class="mtn mbn">
<p id="rate_80015" onmouseover="showTip(this)" tip="不越狱大法好…&人气 + 1
" class="mtn mbn">
<p id="rate_18802" onmouseover="showTip(this)" tip="支持楼主说法,跟着楼主思路替换程序是危险的,越狱后不是有个插件可以做到程序访问需要.&人气 + 5
" class="mtn mbn">
评分次数129
威锋有你更精彩：）
虽然不懂在说什么，但是感觉好厉害的样子。
感谢分享^_^
我很赞同^_^
精品文章^_^
感谢分享^_^
感谢分享^_^
一语惊醒梦中人！怪不得以前的5s越过狱再回来总是感觉不对劲，现在用6打死不越狱了.
搞不懂扣分技术贴的是什么心态
真日了狗了 这么长 谁看？
感谢分享^_^
感谢分享^_^
精品文章^_^
不越狱大法好…
支持楼主说法,跟着楼主思路替换程序是危险的,越狱后不是有个插件可以做到程序访问需要.
助人为乐^_^
感谢分享^_^
精品文章^_^
精品文章^_^
仔细回想了一下，好像我通过网站安装的软件都是新增了一个软件。。这样就好。。.
我也不纠结tlc 基本不下载store以外的程序- -。
威锋有你更精彩：）
威锋有你更精彩：）
精品文章^_^
感谢分享^_^
感谢分享！收获良多！
4S5S都越狱玩厌了，6不准备越狱了。
威锋有你更精彩：）
技术贴，很有必要顶一下。
好久没看到专业帖子了
这就是我坚持不越狱的原因。。
精品文章^_^
好孩子，加分
满分献上，IOS也不安全了。要注重使用习惯了。
注册时间 最后登录
在线时间35 小时 UID
主题帖子人气
不明觉厉。
生活如此多焦。
注册时间 最后登录
在线时间151 小时 UID
主题帖子人气
非常精辟，感谢分享，加分了
注册时间 最后登录
在线时间263 小时 UID
主题帖子人气
注册时间 最后登录
在线时间1286 小时 UID
主题帖子人气
好专业，不过越狱了我用那些助手装软件应该还算安全吧回楼主griffonfang于7 分钟前发表的: 说明一下，我曾经因工作需要，开发过iOS程序，但不精深，只是放到企业Store上供公司内部使用而已。所以下面我说的话不一定正确，你需要自己判断是非，不信也正常。
我的手机是128G的，我知道是tlc存储，但我从不纠结这个，正常用就行（顺......
注册时间 最后登录
在线时间1305 小时 UID
帖子 精华2
主题帖子人气
我刚才就告诫一个人，越狱就谨慎下载TLCCheck这种不受信的App，否则后果自负的。没有越狱的，下载也不会有太大的问题，最多读取一些系统数据神马的，譬如：Apple ID是神马的，但密码等数据绝对还是安全的，由于没有越狱，它也做不了太过分的写入操作，因此安装病毒神马的基本不可能的。谢谢！
注册时间 最后登录
在线时间307 小时 UID
主题帖子人气
好专业，不过越狱了我用那些助手装软件应该还算安全吧
写的太长了，我改下文章，也把结论写出，方便大家。
越过狱，你的安全是由你下载的软件的程序员决定的。
注册时间 最后登录
在线时间307 小时 UID
主题帖子人气
我刚才就告诫一个人，越狱就谨慎下载TLCCheck这种不受信的App，否则后果自负的。没有越狱的，下载也不会有 ...
理论上没有越过狱，官方和非官方的程序都是无法读到敏感信息的，包括Apple ID，这些都是受苹果安全机制保护的。不用担心。
越过狱就不要谈了。
<p id="rate_6699" onmouseover="showTip(this)" tip="&a
href=&forum.php?mod=redirect&goto=findpost&ptid=8856392&pid=&fromuid=1&&&span &没有越狱，***类的软件有风险吗？谢谢&/span&&/a&&人气 + 2
" class="mtn mbn">
注册时间 最后登录
在线时间357 小时 UID
主题帖子人气
另一个意思就是说，越过狱的话，这个程序就能读到任何信息了。。。
注册时间 最后登录
在线时间853 小时 UID
主题帖子人气
目前没发现有问题
威锋旗下产品
Hi~我是威威！
沪公网安备 29号　|　沪ICP备号-1
新三板上市公司威锋科技（836555）
增值电信业务经营许可证：
Powered by Discuz!app store 可以下载360安全卫士了_iphone5s吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：1,309,150贴子：
app store 可以下载360安全卫士了收藏
下了能干嘛？
费电炸弹，同意点赞！
用手机 根本不需要360
小手一抖，经验到手，为了升级，到处游走，纯属路过，不要介意，高抬贵手
费电，360的功能我用插件就能实现
........iphone为什么要360？
看重隐私功能，哈哈。别的可有可无
不越狱归属地解决了？
没更新最好别下，上次下个微视，特费电还烫手，优化了再说吧
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或起点苹果网
为iPhone、iPad、Mac提供全方位应用！
扫码浏览手机端页面
你的位置：
360手机卫士iphone版
资源类型：系统安全
适用平台：iPhone
资源大小：44.8M
更新时间：
软件性质：免费软件
等级语言：简体中文
360手机卫士iphone版二维码扫描
相关软件推荐
360手机卫士专业版 for iphone V4.11.0 越狱版 360手机卫士iphone版
软件名称：360手机卫士专业版 for iphone V4.11.0 越狱版
类型：系统安全
大小：44.8M
语言：简体中文
更新时间：16-02-11
（您的评论需要经过审核才能显示）
共0人参与,0条评论
起点软件 - 所有软件均来自网络如有版权问题请联系我们 - 浙ICP备号
Copyright & 2004- online services. All rights reserved.
请简要描述您遇到的错误，我们将尽快予以修订苹果app Store软件更新软件为什么更新不了_百度知道已经改了app ID 为什么软件更新的时候还会弹出需要之前app ID密码的系统提示呢？_百度知道}