V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
abccba
V2EX  ›  iPhone

iPhone 信任公司私有 App 会有哪些额外的安全和隐私风险?

  •  1
     
  •   abccba · 2021-10-10 11:38:44 +08:00 · 11167 次点击
    这是一个创建于 1140 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首先,我承认自己有被害妄想症,认为我反应过度的,或者觉得没必要那么在乎隐私或安全的,出门左转谢谢。不要针对这一点抬杠,不要针对这一点抬杠,不要针对这一点抬杠。

    因为楼主不是专业人员,所以请教下懂这块技术的人士。从技术角度来讲,信任这些私有 App 会有哪些风险?

    本帖主要是希望从技术角度讨论相关问题。假设公司私有 App 要做恶,它能够造成哪些破坏以及原理?

    “公司私有 App”:这里就不截图了,懂的自然懂(这句话怎么听着有点耳熟呢)。首次使用时,iOS 会提示“未受信任的企业级开发者 xxxxxx”。

    我能理解的第一层风险就是这些 App 精心利用了 iOS 的漏洞,因为完全不受监管,更有可能这样做。当然,从 App Store 下载的应用其实也同样问题,或者手机浏览器打开某个网页就中招了。

    从网上看,这些 App 仍然受到 iOS 沙盒机制的约束,但不上 App Store 可以更自由地调用一些私有 API,那么是否有哪些私有 API 被滥用时会威胁到用户的安全和隐私呢?

    假设我们先不考虑 iOS 的漏洞,还存在哪些安全和隐私风险?( PS:我这里提到的“安全“和“隐私“可以分开考虑)

    了解很有限,希望懂这块的大佬分享下相关经验。

    谢谢!

    22 条回复    2021-10-11 14:12:06 +08:00
    xenme
        1
    xenme  
       2021-10-10 11:42:16 +08:00 via iPhone
    权限大到可以控制整个手机(可以访问普通 app 用不了的 app,而且可以后台限制或者抹除你手机),小到跟普通应用一样,只是私有分发。

    这么看重的话,建议双持,完全分开。
    alfchin
        2
    alfchin  
       2021-10-10 11:42:17 +08:00 via iPhone
    某一年,越狱 app 就是靠企业证书部署的
    xenme
        3
    xenme  
       2021-10-10 11:42:43 +08:00 via iPhone
    s/app/api/g
    Gouzhi
        4
    Gouzhi  
       2021-10-10 11:47:16 +08:00
    我司就是这样,所以我弄了个 se 双持
    abccba
        5
    abccba  
    OP
       2021-10-10 11:58:28 +08:00
    @xenme 谢谢,确认下“后台限制和抹除手机”是利用了 iOS 的漏洞吧?
    abccba
        6
    abccba  
    OP
       2021-10-10 12:00:19 +08:00
    @alfchin 先部署,然后呢?然后利用漏洞提权?(纯小白,说错了求指正,主要是没看懂您这条回复的用意)
    abccba
        7
    abccba  
    OP
       2021-10-10 12:03:00 +08:00
    @Gouzhi 当前是双持,想着如果风险可控,免得带两个手机就都装一起好了。。。

    想起来之前不记得在哪里看到,有网友说,即便是 iPhone,装了私有 app 、信任了私有证书,使用其它 app 也可能被同机的私有 app 探知到相关信息(具体没说,我也记不清了),所以谨慎起见先来问问专家们。
    frqk
        8
    frqk  
       2021-10-10 12:03:36 +08:00 via iPhone
    是 mdm,不是漏洞。
    jiangyang123
        9
    jiangyang123  
       2021-10-10 12:19:04 +08:00
    不是漏洞,这是给企业 app 的权限

    相当于电脑上的行为管理系统
    wheeler
        10
    wheeler  
       2021-10-10 12:37:24 +08:00
    https://v2ex.com/t/772883#reply5

    😄,我也问过。
    abccba
        11
    abccba  
    OP
       2021-10-10 12:39:25 +08:00
    @wheeler 😅,刚才还 site:v2ex.com 搜了下,居然没发现。。。 谢谢
    xenme
        12
    xenme  
       2021-10-10 13:27:09 +08:00 via iPhone
    另外,profile 也都告诉你了,他能控制哪些内容,完全没啥特别的必要担心。

    所有这些都是 Apple 提供的功能
    billlee
        13
    billlee  
       2021-10-10 14:58:27 +08:00   ❤️ 1
    可以往系统上添加无法移除的根证书,可以后台激活 VPN 劫持流量。
    Cielsky
        14
    Cielsky  
       2021-10-10 15:34:12 +08:00 via Android
    这就得公司发个手机,不发手机要求安装就是耍流氓
    winglight2016
        15
    winglight2016  
       2021-10-10 17:44:04 +08:00
    @jiangyang123 没错,还有个名字叫 Bxxx,专门是给移动设备做企业网络安全的方案,在牢厂体验过,安装的手机基本上没有任何隐私了,而且相当于开了一个超级后门。
    Jooooooooo
        16
    Jooooooooo  
       2021-10-10 18:45:45 +08:00
    你要认为你所有的行为公司都知道.
    abccba
        17
    abccba  
    OP
       2021-10-10 19:32:17 +08:00   ❤️ 2
    @frqk @jiangyang123 @xenme 几位说的是 https://support.apple.com/zh-cn/guide/mdm/mdmbf9e668/web 吗?这个和安装并信任公司未在 app store 上架的私有 app,不是一回事儿吧。。。
    Maskeney
        18
    Maskeney  
       2021-10-10 22:23:03 +08:00   ❤️ 1
    楼上一群人说的根本就不是一个东西好吧,楼主问的显然是装一个通过企业证书分发的 App,而不是 MDM,自己搞不清楚就出来危言耸听可真的是失智行为
    wdlth
        19
    wdlth  
       2021-10-10 22:52:36 +08:00
    企业级 App 可以用一些私有的 API 去获取一些信息,不过没有 MDM 的话也控制不了设备。
    dingwen07
        20
    dingwen07  
       2021-10-11 01:15:32 +08:00   ❤️ 1
    苹果应该还有一到两个任意代码执行的漏洞没有修。这些漏洞被苹果认为是“安全的”,因为 App Store 审核机制会检查调用了这些漏洞的应用程序。
    shmilypeter
        21
    shmilypeter  
       2021-10-11 11:24:49 +08:00
    @Cielsky 耍流氓的公司多了去了,今天看到一个女孩被强制要求用公司统一微信头像,但是她的头像跟男友是情侣头像,被迫换掉。说什么统一点赞整齐划一之类的,这种垃圾小公司最喜欢搞。

    不过我也好奇她为什么不专门注册一个工作微信。
    freeair
        22
    freeair  
       2021-10-11 14:12:06 +08:00 via iPhone
    双持在这种场景下就有必要了!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2274 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:42 · PVG 09:42 · LAX 17:42 · JFK 20:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.