对于iOS应用程序越来越多的更新技术将用户置于风险
通过PaaS,Gartner声称的快速增长,IBM和Oracle Fortunes击中
维尔京到2020年增加一百万个FTTP连接
Capgemini建造100强团队的区块链专家
未来的零售比赛:用技术解决零售最大的问题
IBM将量子开发为服务
麻省理工学院的168核芯片可以使移动设备变得更智能
IDC研究表明,随着云采用飙升,在内部部署硬件花费稳定下降
研究确定对澳大利亚有组织的网络威胁
CIO采访:Simon Kerry,Charles Tyrhitt
谷歌敦促企业面对IOT的数据容量规划
新加坡中小企业使人力资源分析适用于其他小公司
消费者将购买谷歌,亚马逊或Facebook的银行和保险
Apple CEO期待服务作为设备收入跌倒
图数据库可视化软件揭示了巴拿马论文
瑞士银行Ciso表示将信息安全关注的信息转移到预防
四分之三的英格斯不知道IP账单,三分之一不在乎
阴影它引用了一些公司缺乏正式的云战略的原因
Atom Bank提供基于人工智能的客户支持
电子商务在东盟国家的增长挣扎
蓝宝石16:SAP的McDermott强调客户的同情,因为微软宣布了Microsoft Pact
HPE服务器获取新名称以帮助用户弄清楚它们可以使用的内容
模块化手机套件可用于IOT和可穿戴物
为什么Windows 10用户应该关心阿塞拜疆的MANAT
WhatsApp获得1000,000,000名Whippersnappers(和我的草坪)
失败的IT工人的最后一座展位的照片
机器学习是修复错误代码的冠军
与货币相关的价格远足可以提高非美国服务器销售
“H2O.AI酋长称,AI'再次释放我们成为人类
Marvell,Carnegie Mellon通过硬盘芯片解决专利纠纷
ee,高通公司将自由式无人机赛车带到温布利体育场
网络犯罪分子采用间谍技术来拉下网上银行的哈
是通过API提供商铺设机器学习的道路?
桑坦德推出语音控制的银行
Zappa为Python Web Apps提供服务,减去服务器
Equinix将八个欧洲数据区销售给竞争对手的数字现实,以8740万美元
verizon的超级碗控制中心内部
三星的目标是Q1的10%利润反弹
福特在PaaS公司枢转的持续投资182万美元,以支持连接的汽车推送
KB 3135449和3135445可能有用,但忽略了其余的微软批量
大数据获取新的开源项目:Apache arrow.
Microsoft启动推荐的更新推出Windows 10
金融服务监管机构揭示了积压批准对等贷方的积压
SWIFTKEY的销售和移动应用市场的不可持续状态
调查显示只有42%的Infosec专业人员使用威胁情报
小米错过手机装运目标,依靠中国市场放缓的依赖
特拉维夫:一个智能城市,社区参与是成功的衡量标准
AWS和Microsoft英国数据中心计划可能会扰乱富含中小企业的数字市场,Kable警告
更安全的骑自行车项目获胜BT智能城市比赛
宣传群体呼吁卫生保健行业采用医疗器械安全原则
您的位置:首页 >产品 > 智能硬件 >

对于iOS应用程序越来越多的更新技术将用户置于风险

2021-06-13 20:44:07 [来源]:

越来越多的IOS应用程序开发人员使用一种技术,该技术允许他们在其应用中远程修改代码,而无需通过Apple的正常审查过程,可能会向用户打开滥用和安全风险的门。

该技术是热补丁的变化,这是一种在不重新启动的情况下动态更新系统或应用程序的方式。在这种情况下,在没有开发人员的情况下更新IOS应用程序,必须将新版本提交给官方iOS应用商店,然后等待Apple对更改的审查,这可能是一个冗长的过程。

这种热修补方法的实现来自一个名为JSpatch的开源项目,它提供了一个引擎,App开发人员可以集成到他们的应用中,并将JavaScript代码桥接到Objective-C,iOS应用程序使用的编程语言。

例如,在将JSpatch引擎添加到其应用程序之后,这需要只需要7行代码,开发人员可以突出应用程序以始终从他们控件的远程服务器加载JavaScript代码。然后由JSpatch Engine解释此代码并将其转换为Object-C。

“Jspatch是一个福伊斯开发人员,”Fireeye的安全研究人员在博客帖子中说。“在右侧,它可以用于快速和有效地部署修补程序和代码更新。但在像我们这样的非乌托邦世界,我们需要假设坏演员将为意外目的利用这项技术。“

问题是热补丁与IOS安全模型有所不足,这部分地利用了苹果花园的实力,其精心控制的应用商店。

苹果公司对第三方应用程序产生了一些与安全相关的限制,并仅通过App Store审查流程强制执行。jspatch允许开发人员绕过此类策略。

例如,通过使用此方法,应用程序可以访问某些iOS API,而不在首次提交和接收到App Store时声明它们。它还可以访问仅允许Apple应用程序使用的受限API。

AIREEY研究人员表示,应用程序可以更改设备上的系统设置,枚举帐户类型,收集存储在斯托特库中的照片相册或访问信息中的图片。目前,攻击者可以做的一些限制,但如果JSpatch开发人员选择曝光额外的C功能或应用程序创建者本身对发动机进行一些更改,这些限制可能很容易消失。

jspatch滥用有一些可能的方案。最简单的人将涉及开发人员,他们故意恶意,并利用Jspatch来避免苹果被检测到的流氓代码。

虽然另一个将JSPATTHING进入其SDK(软件开发套件)的广告网络。如果应用程序开发人员将在其应用程序中包含这样的广告SDK,它将提供广告网络通过其应用程序滥用iOS API。

第三种情况将涉及通过未加密的连接下载远程JavaScript代码的JSpatch启用的应用程序。这将允许在开放无线网络或通过黑客路由器上拦截应用程序的攻击者,或者通过黑客路由器来修改JavaScript代码。

“Jspatch技术可能允许近算法以有效地规避应用商店审查过程所施加的保护,并在未经用户同意的情况下对设备进行任意和强大的动作,”Fireeye研究人员得出结论。“代码的动态性质使得在行动中捕捉恶意演员非常困难。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。