《移动安全与测评》报告

很喜欢移动开发,然后选了移动安全与测评这门课。课上学到很多移动安全的知识、思想。由于我对安卓开发没经验,也不是学安全专业的,对那个渗透测试的作业只能望而却步了。自己学了点iOS开发的皮毛,所以这篇读书报告还是主要谈谈iOS方面的。

最早接触iOS是在高中的时候,iOS 4。那时候越狱用的是什么红雪绿毒,还得手动进DFU,比起现在的一键越狱工具真费事。当时去越狱的初衷就是越狱后可以下载商店里收费的游戏。记得高中同学用的智能机最多的也就是诺基亚,塞班s60 v3,v5的,然后刚接触这种“多点触控”的游戏,感觉好酷炫。后来越狱后发现,原来越狱了还能装插件,还能改系统文件。当时感觉最有用的插件是第三方输入法、手势。现在随着iOS版本的升级,很多越狱插件都用不到了。都被吸收到了[真·iOS]上哈哈。甚至我感觉很多安卓Rom的功能都是抄的Cydia插件,特别是魅族。Flyme的很多“独创”功能都是我多年前就在Cydia插件里体验过的(不过Flyme依旧是我用起来最舒服的安卓系统)记得Cydia的商店是先于苹果官方的App store出现的,也正是Cydia商店的高手们刺激着iOS一步步地强大。

我现在手上的一部iPhone 6s系统是10.0.2,越狱后仅仅装了这几个插件:

  • KuaiDial:通话插件。T9搜联系人,通话震动。感觉iOS早该做这些功能了。
  • QuickDo:手势+自定义控制中心。
  • Anywhere:自定义定位和机型。
  • Flex 3:改软件包的。
  • NFCWriter:模拟NFC的。测试能刷宿舍门禁,消费是不可能了。

抛开安全问题不说,尽管现在的iOS功能已经完善,但给我一部不能越狱的iPhone我用起来还是不习惯的,我觉得很多实用功能习惯是有依懒性的。

然后谈谈iOS开发方面吧。谈到iOS开发肯定是OC。不过对于OC我还真是一窍不通。2014年 Swift出世,带着对iOS的那么点兴趣,我学了Swift,皮毛中的皮毛。大项目也没做过,就是跟着网上教程学学啥的。
无论是通过课上老师讲的,还是自己使用的感受,那就是iOS比安卓还是安全很多。iOS上次做第一次作业的时候提到过,在GitHub上找到一个项目,号称是可以收集到系统后台运行的其它App,但运行后发现没有什么效果。就继续搜,发现从iOS9以后就被封掉了。然后我就开了个iOS8的模拟器,还是不行。一定是编译的时候就不好使了。这就是iOS从开发者角度考虑安全问题的一个策略:在开发iOS高版本的App时,你就要更新你的编译器Xcode。
比如iOS12要出了,你不更新你的XCode你就不能适配iOS12。你更新了Xcode也就意味着很多漏洞从你开发者手里就被修复掉了。你就算写出了代码编译了也没效果。再进一步讲,就算你写出来有效果的代码,都上架不了商店啊!!!当时写那个作业1查到一个人写了个方法可以获取本机手机号,但是后面的回帖全部都是,上架直接被打回来。
对开发者强制开发工具更新,上架商店严格审核,我认为这种开发的机制也是iOS这个系统更安全的一个很重要的原因吧!

然后对比下iOS和安卓系统使用上很多安全细节:

  • 权限申请要询问用户。安卓现在也有,算是相互学习吧。
    • 悬浮窗权限。不得不说下悬浮窗的权限,安卓开发这个权限让很多App方便、好用。但也带来了巨大的安全问题。毕竟只要你给了App这个权限,人家就可以透明地运行了啊。
    • 锁屏。安卓可以激活设备管理器然后让App接管锁屏,使坏的再配合上面的悬浮窗权限让用户点啥都点不了。当然具体的我也不懂只是看过一些文章分析的。
    • 反正以上两个权限iOS都没有。个人认为这种权限也太“底层”
  • Scheme跳转询问。好像安卓也有了。就是问你xx想打开xx,允许吗?iOS中只要不是系统级App都要询问的。
  • 后台、通知机制。虽然安卓这方面也在整改,但路还很远啊。
  • 商店。

突然想起前几天同学打电话告诉我,千万别用越狱擦除工具,因为他在闲鱼上想卖掉他的iPhone 6s,然后对方就是因为他的系统是可越狱版本才买的。但我同学卖的时候就想,我先用擦除一下越狱,抹掉本机内容后,再重新越一下寄给买家(如果是我也会这么干的)。但是问题就出现了。擦除越狱的工具有很多,比如Cydia的插件 Cydia Eraser还有桌面工具Cydia Impactor,他是用的插件,以前我用过都没有问题的。但是问题出现在抹掉之后,由于系统是iOS 9,竟然不能激活~必须让你升到11才能激活。我在网上查了下很多网友也说iOS 9系统的iPhone6s只要是还原以后都不能激活了,这就很不讲道理了。但这也从iOS版本验证的角度上限制了你必须升级iOS版本,我认为这就是Apple公司对安全最严格的规范。虽然很多用户在抱怨升级后卡顿,但其实没有什么东西比安全两个字更重要!

希望安卓和iOS能继续努力相互学习,给用户打造更安全更好用的系统环境!

License

Adopting CC BY-NC-SA 4.0 License Agreement

Share

快来参与讨论吧~