V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ichanne
V2EX  ›  iPhone

JSPatch 有安全漏洞?

  •  
  •   ichanne · 2016-01-30 13:07:58 +08:00 · 9554 次点击
    这是一个创建于 3207 天前的主题,其中的信息可能已经有所发展或是发生改变。
    13 条回复    2016-02-02 13:21:25 +08:00
    zhouzm
        1
    zhouzm  
       2016-01-30 13:39:08 +08:00
    你看看作者自己是怎么分析安全风险的:
    http://blog.cnbang.net/works/2767/
    chmlai
        2
    chmlai  
       2016-01-30 13:41:02 +08:00 via iPhone
    Apple 允许 app 动态下载可执行代码就应该预想到这种事
    Ixizi
        3
    Ixizi  
       2016-01-30 13:48:35 +08:00
    热更新需要保证从服务器下发代码不会被拦截,主要还是代码传输的一个加密吧。
    StephenW
        4
    StephenW  
       2016-01-30 14:16:15 +08:00 via iPhone
    @chmlai 这并不是可执行代码,这是脚本
    breezex
        5
    breezex  
       2016-01-30 16:55:56 +08:00
    FireEye 所要表达的是恶意开发者会利用 JSPatch 的动态更新特性,往 APP 中插入恶意代码。。
    breezex
        6
    breezex  
       2016-01-30 16:58:02 +08:00
    mornlight
        7
    mornlight  
       2016-01-30 17:20:16 +08:00
    下发脚本过程中可能会被恶意篡改,这个很容易理解和解决,不能叫 JSPath 有安全漏洞。

    如果这个叫漏洞的话,我也可以说「中国几千万网站存在安全漏洞」,因为他们都是 http 的。
    ichanne
        8
    ichanne  
    OP
       2016-01-30 19:00:40 +08:00 via iPhone
    @breezex 看了一下,确实是这个意思,那这就不是 JSPatch 的问题了。
    Consequences: The app developer can utilize all the Private APIs provided by the loaded frameworks to perform actions that are not advertised to Apple or the users. Since the developer has control of the JavaScript code, the malicious behavior can be temporary, dynamic, stealthy, and evasive. Such an attack, when in place, will pose a big risk to all stakeholders involved.
    hoogle
        9
    hoogle  
       2016-01-30 19:48:24 +08:00 via iPhone
    JSpatch 趟枪
    pljhonglu
        10
    pljhonglu  
       2016-02-01 10:47:30 +08:00
    作者已经明确指出了安全风险,并建议加密 JS 或者使用 HTTPS ,开发者不重视有什么办法啊~
    simon4761
        11
    simon4761  
       2016-02-01 16:04:41 +08:00
    Dispatch 好冤~
    tedzhou
        12
    tedzhou  
       2016-02-02 13:16:47 +08:00
    https 是必须的
    tedzhou
        13
    tedzhou  
       2016-02-02 13:21:25 +08:00
    @zhouzm
    作者解释的 url 是这个:
    http://blog.cnbang.net/internet/2990/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2990 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:51 · PVG 21:51 · LAX 05:51 · JFK 08:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.