这是一个创建于 3202 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
zhouzm 2016-01-30 13:39:08 +08:00
你看看作者自己是怎么分析安全风险的:
http://blog.cnbang.net/works/2767/ |
 |
2
chmlai 2016-01-30 13:41:02 +08:00 via iPhone
Apple 允许 app 动态下载可执行代码就应该预想到这种事
|
 |
3
Ixizi 2016-01-30 13:48:35 +08:00
热更新需要保证从服务器下发代码不会被拦截,主要还是代码传输的一个加密吧。
|
 |
5
breezex 2016-01-30 16:55:56 +08:00
FireEye 所要表达的是恶意开发者会利用 JSPatch 的动态更新特性,往 APP 中插入恶意代码。。
|
|
6
breezex 2016-01-30 16:58:02 +08:00
|
 |
7
mornlight 2016-01-30 17:20:16 +08:00
下发脚本过程中可能会被恶意篡改,这个很容易理解和解决,不能叫 JSPath 有安全漏洞。
如果这个叫漏洞的话,我也可以说「中国几千万网站存在安全漏洞」,因为他们都是 http 的。 |
 |
8
ichanne OP @breezex 看了一下,确实是这个意思,那这就不是 JSPatch 的问题了。
Consequences: The app developer can utilize all the Private APIs provided by the loaded frameworks to perform actions that are not advertised to Apple or the users. Since the developer has control of the JavaScript code, the malicious behavior can be temporary, dynamic, stealthy, and evasive. Such an attack, when in place, will pose a big risk to all stakeholders involved. |
 |
9
hoogle 2016-01-30 19:48:24 +08:00 via iPhone
JSpatch 趟枪
|
 |
10
pljhonglu 2016-02-01 10:47:30 +08:00
作者已经明确指出了安全风险,并建议加密 JS 或者使用 HTTPS ,开发者不重视有什么办法啊~
|
 |
11
simon4761 2016-02-01 16:04:41 +08:00
Dispatch 好冤~
|
 |
12
tedzhou 2016-02-02 13:16:47 +08:00
https 是必须的
|
|
13
tedzhou 2016-02-02 13:21:25 +08:00
|
Select Language