說說 XcodeGhost 這個事

2021-07-05 23:48:36 字數 1168 閱讀 2322

我這裡就不提那些中招的所謂大廠了,如果經常聽我扯淡的同學早就知道我的觀點:即便是大廠,有安全常識的人還是少之又少、反而是所謂大廠因為管理更困難(好多大廠到管事的那級的人更跟不上知識更新),犯安全錯誤的機會就更大。

種馬的手法其實也不新鮮。有點年紀的程式設計師讀書時,課本上一定教過:計算機病毒有四種形式,最後一種就叫原始碼病毒,感染附著在編譯器中。只是估計很少人見過,後來課本就刪掉了。其實呢,這個說法的源頭是 ken thompson 在 1984 年圖靈獎演說上提到過的惡作劇。老實說 the ken thompson hack 的手法比這個高明的多。

xcodeghost 的技術細節就不分析了,網上一搜一大堆。我想說的是這次這個東西危害問題。

但 ios 是如何從設計上去解決被釣魚的安全問題呢?

一旦有對話方塊要求你輸入 icloud id 時,你都應該警惕是不是釣魚。作為這種反常的輸入要求,你可以回憶一下最近半年有沒有遇到過,如果不確定,還是把 icloud 的二步驗證開啟好了。

說到這裡,微博上有同學就此反駁說。不是所有人都有這個安全意識,尤其是中老年使用者。我想說,就我認識的同學的父母,更多的把 icloud id 是什麼都忘記了,**談的到輸入。幾乎 iphone/ipad 交到他們手上後,他們就沒有接觸過 icloud id 的概念,能記得密碼就不錯了。

ps. 對比看看國內各個支付平台的設計。有幾個是把保護使用者賬號名作為安全設計點的?國內做平台設計的人的安全常識可見一斑。

安全不能全寄託在開發者的素質上,無論是有意還是無心還是過錯,都有可能插入非使用者期望的**。這個信任最多是乙個安全環節,前面還有蘋果商店的審核、ios 系統的沙盒等多個關卡。

當然,審核並不是 ios 最後的安全手段,最關鍵還是 ios 自身的沙盒隔離。審核只是多做一層防護,相當於開個白名單,減少沙盒的安全漏洞被利用的可能性。至於沙盒這最後一道(也是最重要的)防線,就要求使用者你不要去搞什麼越獄啦。

昨天,有同學給過我乙個鏈結,說其實未越獄的 iphone 也可以被釣魚。

其實無論你有沒有特別的技術背景,只要中文理解能力夠,就可以讀懂上文中的技術重點。

這些都不可能用於目前的 xcodeghost 。這正說明了, ios 的層層安全措施有效且必要。

無論如何,作為乙個中國人,若想盡量保障自己的隱私安全,加強安全意識還是非常重要的。選用安全的作業系統(遠離國產安卓平台),勤快的公升級,小心選擇不會被社工的密碼,且保護好你的賬戶名。還有,盡量遠離國產軟體。

說說 MultiTouch 那點事

最近在做乙個 小應用,涉及到的跟以前接觸的 不太一樣。這次是 ontouchevent 和 ongesturelistener介面的 結合,本身繼承su ceview.拿出來跟大家討論一下 看看有沒有更好的辦法!自己定義了好多 flag,自己總覺得有更簡潔的辦法。上碼吧!注釋不多!重在意會蛤!01 ...

說說前端這些事

好幾天沒有寫部落格了,最近在學習 backbone 為下乙個專案做準備。想想在從事此工作之前我也很彷徨過,有一度的時間,我想放棄過從事it行業的工作,但是始終自己沒有那個勇氣。好了,說的太多的廢話,下面講講我從事半年 web 前端所終結的經驗。記得,從來公司那會,公司乙個專案說直接給我做,當時真是一...

說說這個暑假的事兒

前言暑假,意味著我們上半年的課程結束,休假回家以度過難熬酷暑,而今年的暑假意義非凡,從今天來看,意義更加深遠不少。想來人們總是把最開始的和最後的看的重一些,而今這就是最後一期的第乙個暑假學習。7月份考試結束了,按照安排大家都能回家短暫休息 5天,而 5天後我們將進行將近 50天的集中學習,興奮 以致...