盗版应用与插件泄露 iCloud ID 等机密信息

乌云平台 8 月 25 日提交了一份关于 iOS 的漏洞,标题为:22万iCloud账号及机密信息被多款内置后门越狱插件窃取并泄露(越狱iPhone手机真实窃密案例)

看来现如今越狱在第三方应用平台的竞争下已经称为了一块新的市场,以前我们以为这块市场的盈利方式只是通过用户占有率,从而通过“装机必备应用”这样坑骗小白用户的方式来获取推广费用。

但看起来助手变得贪婪的时候用户也在日益变得聪明,不会太去选择那些自己根本不需要的应用或游戏。那么助手怎么赚钱呢?盗刷。

所谓盗刷就是前些日子大家反应的“App Store 的’已购’中莫名其妙地增加了自己没有下载过的应用”,或者直接有自己没购买或下载的 App 直接出现在主屏幕上的情况。

知道用户的 iCloud ID 对用户的影响是十分巨大的:盗刷相对只是小事,除此之外对方还可以锁定你的机器要挟你,又或者在偷盗了你的手机后解锁。

乌云对此漏洞的警告是:

越狱以后千万不要安装来历不明的应用和插件,被获取到 iCloud 账号以后可以锁定机器,解开激活锁,这些都够受的……

所以看来,乌云认为此次事件的原因是:越狱后来历不明的应用和插件。

这里的“来历不明”非常重要,它所指的主要是盗版的应用及插件。盗版插件多数存在于盗版源,而大的盗版源会在 Cydia 添加的时候显示提示。而也有一些名气不大的小的盗版源没有被 Cydia 所识别,对这些源,判断方法是,首先看是不是作者的个人源,如果不是个人源却聚集了大量的插件嫌疑就很大,然后你再查看是否和官方源的插件有重合即可。现如今使用盗版插件的风险已经不止是不稳定,而且还有着重大的安全风险。所以请你在贪小便宜和设备的安全与稳定之间再次权衡。

同时,实际上,那些提交到几大官方源中的插件也未必全部可靠,但是首先,这样的漏网之鱼并不多,很多年可能就出几个。同时,可以保证的是一经发现一定会获得处理。一部分的免费插件作者为了表示清白也会把自己的插件的源代码发布到 Github 上,这点也是一个区分插件是否干净的标志。

希望你在享受越狱的同时尊重开发者的权益,并且,就算你不尊重开发者的权益,还是好好考虑下你自己的隐私。

最后再重申一下盗版源的鉴别方法:

大的盗版源会在 Cydia 添加的时候显示提示。

名气不大的小的盗版源有可能没被 Cydia 所识别,对这些源,判断方法是,首先看是不是作者的个人源,如果不是个人源却聚集了大量的插件嫌疑就很大,然后你再查看是否和官方源或作者个人源的插件有重合即可。你多留个脑子,想想,如果这个东西本来就是免费,它为什么还把费劲它扒过来放到自己源上?