V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
RandomUser
V2EX  ›  iOS

iOS 信任证书有什么风险吗?

  •  
  •   RandomUser · 2017-07-28 14:49:21 +08:00 · 25039 次点击
    这是一个创建于 2680 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如下架后的迅雷现在提供的内测版
    还有公司内部的 app 之类的
    都需要信任证书
    第 1 条附言  ·  2017-07-29 13:58:16 +08:00
    吓得我不敢用迅雷了
    19 条回复    2017-07-29 15:34:58 +08:00
    joey0904
        1
    joey0904  
       2017-07-28 15:11:03 +08:00
    我了解的描述文件就是 大学或者大公司会用来控制 iPhone 的一种手段,能实现很多事情,限制/侵犯你的权利绝对是可能的

    所以除非你信任,或者是你学校,公司要求安装,要不然最好不要啦。
    pqee
        2
    pqee  
       2017-07-28 15:15:36 +08:00 via Android
    没有任何风险。
    bienyur
        3
    bienyur  
       2017-07-28 15:44:43 +08:00
    企业版能用私有 api
    magic3584
        4
    magic3584  
       2017-07-28 16:00:21 +08:00
    问下 lz 这个版本在哪下。。。
    huoshanhui
        5
    huoshanhui  
       2017-07-28 16:21:20 +08:00
    可以做很多你不想让他做的事情,比如监听你的流量数据。
    SourceMan
        6
    SourceMan  
       2017-07-28 16:24:10 +08:00
    @huoshanhui #5 应该说的是 (企业)开发者证书吧
    RandomUser
        7
    RandomUser  
    OP
       2017-07-28 16:28:06 +08:00
    @pqee
    @huoshanhui
    为什么说的完全相反。。。。。。
    RandomUser
        8
    RandomUser  
    OP
       2017-07-28 16:29:13 +08:00
    @magic3584 手机迅雷官方微博上给的渠道,关注 大 C 帮帮忙 微信公众号,回复 ios
    huoshanhui
        9
    huoshanhui  
       2017-07-28 16:47:34 +08:00   ❤️ 1
    ech0x
        10
    ech0x  
       2017-07-28 18:01:53 +08:00
    看楼上,最后几个提供的权限就已经很危险了
    appppap
        11
    appppap  
       2017-07-28 18:10:23 +08:00 via iPhone
    证书就是你家门的一把钥匙。你老婆拿着没事,普通朋友拿了,估计你不怎么睡的着
    mooczz
        12
    mooczz  
       2017-07-28 18:46:41 +08:00
    无非是一些私有 API,怎么着也比 android 安全吧
    wohenyingyu02
        13
    wohenyingyu02  
       2017-07-28 18:53:20 +08:00 via iPhone
    @huoshanhui 这不是权限么,用到的时候会弹出允许框,和有没有企业证书有关系嘛?我没有企业证书一样可以用。
    SingeeKing
        14
    SingeeKing  
       2017-07-28 20:44:59 +08:00
    首先,证书、描述文件和企业应用分发是不一样的,虽然都是通过描述文件来实现的。

    楼主说的应该指企业应用分发的证书,信任后会允许这个软件运行,而这个软件未经 AppStore 审核。

    风险如下:
    1. 私有 API (详见 360 下架事件)可能会读取到一些不是很隐私的隐私数据
    2. 可能的漏洞利用
    RqPS6rhmP3Nyn3Tm
        15
    RqPS6rhmP3Nyn3Tm  
       2017-07-29 03:33:14 +08:00 via iPhone
    每次用迅雷都提心吊胆的,担心隐私和安全问题。
    没有 iOS 企业开发者来解答吗
    onevcat
        16
    onevcat  
       2017-07-29 10:02:21 +08:00 via iPhone
    就如其字面,信任的意思就是,几乎想干什么都可以。因为私有 API 几乎可以干任何事,不过如果你确实信任这家企业的话,也就无所谓了。一般测试的话走 TestFlight 就好,迅雷这种相当于非法分销了,讲道理是违反协议的。至于要不要信任,就看你愿不愿意相信这家企业咯。
    HuangLibo
        17
    HuangLibo  
       2017-07-29 11:04:57 +08:00
    @onevcat 信任证书后能越过沙盒拿到通讯录, 短信, 照片之类的隐私信息?
    travelforlove
        18
    travelforlove  
       2017-07-29 15:14:09 +08:00
    公司内部 app 的证书主要的目的是远程抹除手机上的全部数据,
    结合默认开启的全盘加密给企业提供一个最低限度的安全控制。
    RandomUser
        19
    RandomUser  
    OP
       2017-07-29 15:34:58 +08:00 via iPhone
    @travelforlove 啊?只是一个内部 IM 它居然想抹掉全部数据???
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1315 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:57 · PVG 01:57 · LAX 09:57 · JFK 12:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.