V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 3744 days ago, the information mentioned may be changed or developed.
 |
1
zhouzm Jan 30, 2016
你看看作者自己是怎么分析安全风险的:
http://blog.cnbang.net/works/2767/ |
 |
2
chmlai Jan 30, 2016 via iPhone
Apple 允许 app 动态下载可执行代码就应该预想到这种事
|
 |
3
Ixizi Jan 30, 2016
热更新需要保证从服务器下发代码不会被拦截,主要还是代码传输的一个加密吧。
|
 |
4
TheOutgoing Jan 30, 2016 via iPhone
@chmlai 这并不是可执行代码,这是脚本
|
 |
5
breezex Jan 30, 2016
FireEye 所要表达的是恶意开发者会利用 JSPatch 的动态更新特性,往 APP 中插入恶意代码。。
|
|
6
breezex Jan 30, 2016
|
 |
7
mornlight Jan 30, 2016
下发脚本过程中可能会被恶意篡改,这个很容易理解和解决,不能叫 JSPath 有安全漏洞。
如果这个叫漏洞的话,我也可以说「中国几千万网站存在安全漏洞」,因为他们都是 http 的。 |
 |
8
ichanne OP @breezex 看了一下,确实是这个意思,那这就不是 JSPatch 的问题了。
Consequences: The app developer can utilize all the Private APIs provided by the loaded frameworks to perform actions that are not advertised to Apple or the users. Since the developer has control of the JavaScript code, the malicious behavior can be temporary, dynamic, stealthy, and evasive. Such an attack, when in place, will pose a big risk to all stakeholders involved. |
 |
9
hoogle Jan 30, 2016 via iPhone
JSpatch 趟枪
|
 |
10
pljhonglu Feb 1, 2016
作者已经明确指出了安全风险,并建议加密 JS 或者使用 HTTPS ,开发者不重视有什么办法啊~
|
 |
11
simon4761 Feb 1, 2016
Dispatch 好冤~
|
 |
12
tedzhou Feb 2, 2016
https 是必须的
|
|
13
tedzhou Feb 2, 2016
|
Select Language