V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
abelyao
V2EX  ›  问与答

长期使用类似“快 X 助手”这类软件来下载 APP 到底安全吗?

  •  
  •   abelyao · 2014-12-27 09:32:34 +08:00 · 7478 次点击
    这是一个创建于 3654 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前言

    楼主自己长期使用 AppStore 以及知道 AppleID 系统的各种好处,所以本文仅讨论这一类软件是否安全,无需再重复使用 AppleID 及 AppStore 有什么好处

    正题

    前不久一同事给妹妹买了一个 iPad,小妹妹觉得 AppStore 太慢,以及每十分钟就要输入一次密码,而密码又要求大小写+数字,嫌按起来麻烦,当然更重要的原因也包括了 很多游戏是要付费的,于是要求给安装了一个 *快X助手*,为了避免被说是广告,此处轻微打码。这玩意确实可以免费下载各种收费的 APP,例如很好玩的纪念碑谷(这游戏真心好玩)。

    问题

    1. 如果一台全新的 iOS 设备,从未使用 AppleID 登录 AppStore 购买任何 APP,全部 APP 都是透过这一类(包括但不限快X助手)软件进行下载的,那么有没有什么安全问题?
    2. 或者,类似 QQ / 微信 / 支付宝 / 淘宝,这一类涉及账号安全的 APP 全部从 AppStore 下载,而其它“快餐软件”例如游戏什么的,使用这一类助手下载,又有没有什么安全问题?
    第 1 条附言  ·  2014-12-27 10:07:08 +08:00
    PS.
    很多朋友觉得本帖是讨论盗版,我深知 v2ex 不讨论盗版这一点,同时我对这一类助手就是盗版这个观点没有异议。
    但是我发帖的目的是想讨论一个安全性的问题,不管你认为安全与否,都可以说出原因(参考 7 楼和 11 楼)。而如果只丢下一句盗版怎样怎样,那么是没有意义的。
    另外请 @livid 或其他版主出来判定吧,如果觉得这帖子乱了 v2ex 的氛围,那么请拉到小黑屋,我完全理解。
    52 条回复    2014-12-28 15:24:34 +08:00
    Dreista
        1
    Dreista  
       2014-12-27 09:38:19 +08:00
    安全问题先不提,三天两头闪退受得了?
    abelyao
        2
    abelyao  
    OP
       2014-12-27 09:41:43 +08:00
    @Dreista 会闪退吗?可能之前她下载的都是几个游戏,没有长时间玩吧(通讯类和购物类的我用 AppStore 给下载好了)
    zzutmebwd
        3
    zzutmebwd  
       2014-12-27 09:43:40 +08:00 via Android
    不讨论盗版,谢谢。
    waterfront
        4
    waterfront  
       2014-12-27 09:44:29 +08:00
    这里好像不让交流盗版。
    knightluffy
        5
    knightluffy  
       2014-12-27 09:45:19 +08:00   ❤️ 1
    又想免费蹭吃蹭喝,又想保证自己安全不被人打,除非店是你开的,否则,在我朝是不可能实现的。。
    abelyao
        6
    abelyao  
    OP
       2014-12-27 09:46:04 +08:00
    @zzutmebwd 我认为这问题的目的并不是讨论如何盗版,而是一个安全意识的问题。如果你认为是的话,我自己先来 @livid
    lovereimu
        7
    lovereimu  
       2014-12-27 09:48:07 +08:00   ❤️ 1
    理论上不越狱,app之间的数据是独立的,所以没什么问题
    zzutmebwd
        8
    zzutmebwd  
       2014-12-27 09:50:57 +08:00 via Android
    @abelyao ╮(╯▽╰)╭恐怕不是我一个人认为是
    PhilCai
        9
    PhilCai  
       2014-12-27 09:52:03 +08:00 via iPhone
    盗版可耻
    abelyao
        10
    abelyao  
    OP
       2014-12-27 09:52:19 +08:00
    @zzutmebwd @waterfront 那就赶紧让版主来移走吧,免得乱了 v2ex 的氛围,我也理解。
    Dreista
        11
    Dreista  
       2014-12-27 09:52:26 +08:00   ❤️ 1
    @abelyao 凡是有同学从XX助手里下东西的,就会闪退,无一例外。另外正如楼上几位所说,盗版也是问题。
    至于安全问题,恩,会给手机里安装个描述文件。不多说。
    abelyao
        12
    abelyao  
    OP
       2014-12-27 09:54:14 +08:00
    @Dreista 这个才是重点回复,本帖有你这条回复我也满足了,@livid 赶紧来移走帖子吧,免得讨论个安全问题都要被强调几百次盗版,说得好像前不久的大事件 mac 第三方下载 app 就不是盗版一样
    wangqj
        13
    wangqj  
       2014-12-27 09:58:56 +08:00
    @abelyao 所谓的“快X助手”其本质就是盗版。没有通过正规的iTunes Store购买的,都是盗版。
    abelyao
        14
    abelyao  
    OP
       2014-12-27 10:00:16 +08:00
    @wangqj 我对此没有异议,但我本帖的目的是想讨论这一类是否安全,如果不安全,是因为什么不安全(参考11楼的正经回复)而不是丢一句盗版怎样怎样这种没有意义的回复。
    ysz1996
        15
    ysz1996  
       2014-12-27 10:06:24 +08:00 via Android   ❤️ 1
    助手完全可以添加一些你根本不知道的东西,而且要装必须越狱,天知道里面有什么,越狱的iOS是最不安全的系统,还有百度WireLurker 360 麦芽地
    ysz1996
        16
    ysz1996  
       2014-12-27 10:06:53 +08:00 via Android
    还有不想被强调盗版就别用啊
    abelyao
        17
    abelyao  
    OP
       2014-12-27 10:08:44 +08:00
    @ysz1996 除了 “要装必须越狱” 这句话不同意,其它感谢你的回答。
    Francost
        18
    Francost  
       2014-12-27 10:23:25 +08:00 via iPhone   ❤️ 1
    抛开其他不说,你不知道助手类的软件给你安装的描述文件有什么问题,所以,还是用ID登陆商店下载吧
    abelyao
        19
    abelyao  
    OP
       2014-12-27 10:25:25 +08:00
    @Francost 发帖的时候没想到描述文件这件事,不过我也挺好奇的,iOS 在其它操作上都会弹出授权提示,但增加描述文件这事却经常默默的被增加了
    ysz1996
        20
    ysz1996  
       2014-12-27 10:32:43 +08:00 via Android
    @abelyao 我是指移动版
    riophae
        21
    riophae  
       2014-12-27 10:34:47 +08:00   ❤️ 1
    这台 iPad 有 TouchID 吗? 有的话从 App Store 下载应用就不被输密码了..
    abelyao
        22
    abelyao  
    OP
       2014-12-27 10:36:20 +08:00
    @riophae 忘了她是买最新一代还是上一代了,这确实是个好方法
    cattyhouse
        23
    cattyhouse  
       2014-12-27 10:41:21 +08:00 via iPhone
    @riophae 输密码不是问题,关键人家不愿意花钱。
    min
        24
    min  
       2014-12-27 11:02:33 +08:00 via iPhone   ❤️ 1
    水果家的apo store最安全,其他都不安全
    icodesign
        25
    icodesign  
       2014-12-27 11:16:25 +08:00   ❤️ 1
    他用企业签名安装的东西能信任? 谁知道改没改什么东西, 留没留后门, 私有API也可以使用(私有API可以干很多事情)
    icemilk00
        26
    icemilk00  
       2014-12-27 11:26:35 +08:00 via iPhone   ❤️ 3
    作为一个ios从业者来回答,安全问题应该是不用担心的,无论任何渠道,ios的sdk已经基本保证了绝大多数的涉及隐私的api无法使用。还有第三方渠道的并不一定都是盗版,有些公司的app首发也会选择第三方渠道,所以楼主不用太担心
    ilili
        27
    ilili  
       2014-12-27 11:33:46 +08:00 via Android   ❤️ 1
    用過所謂「不越獄用正版」的愛思助手和屁屁助手。用它們是因為iPad 1沒法正常用AppStore。用了幾天受不了那提心吊膽,在優酷、微博輸密碼時那種提心吊膽,然後刷機了,老老實實用iTunes來裝應用。
    abelyao
        28
    abelyao  
    OP
       2014-12-27 11:56:49 +08:00
    @icemilk00 我想给你多点几个赞,可惜只能点一次
    Mizzi
        29
    Mizzi  
       2014-12-27 12:13:09 +08:00   ❤️ 1
    @abelyao 会闪退,其实就是用的开发者账号安装的。。。。所以。。。
    a154312237
        30
    a154312237  
       2014-12-27 12:31:05 +08:00 via iPhone   ❤️ 2
    除非越狱 否则没风险的,这个也不算漏洞 只是让有些人钻了空子罢了 ,(还有因为为你的主题内容已经说明你已经置身事内了所以大家会觉得你是为了使用盗版来发贴的)
    whatsdjgpp
        31
    whatsdjgpp  
       2014-12-27 12:46:54 +08:00
    又想免费, 又想安全
    nAODI
        32
    nAODI  
       2014-12-27 13:07:44 +08:00   ❤️ 6
    狭义的说,对你朋友妹妹这种普通用户而言没有太大安全问题(至于我是怎么定义这种普通用户的,可参考本段末尾)。因为应用与应用之间不联通各自在沙盒里,这些助手在不越狱的前提下也碰不到底层,何况像你朋友妹妹这类如果连多输入几次密码都无法忍受的普通用户,估计她的支付宝账户等服务的密码其实会被分分钟破解或者早被撞库。但有个不容忽视的问题是,在你没发知道和控制你朋友的妹妹怎么去用的情况下,你实际上已经承担有一份责任(见下文)。

    广义的来说,建议楼主引导朋友弃用这些助手。
    这类助手软件的原理往往是:利用苹果的企业版账号,自己来给应用签名,然后就可以分发给使用助手软件的用户使用。
    所以,理论上这类软件上的每一款应用,都已经不是原来的应用,助手厂商或者任何有技术能力的第三方都可以出于自己的目的来给助手里的应用添上点自己的「料」。这也是会导致应用莫名奇妙闪退,设备莫名奇妙下载一些垃圾应用,莫名奇妙自己的 Apple ID 被用来刷评论等等的原因。
    更明显的危害则是:用户在这些盗版应用内输入的信息都有可能被第三方截获,机器的基本信息(UDID之类)也很容易被获取,Apple ID 就更不用说了。

    考虑到是你帮朋友按上这软件的,到时候有任何莫名其妙的问题朋友只能来找你而无法从苹果官方支持那里得到帮助。浪费楼主的精力是一方面,如果未来碰到楼主也搞不定的问题,楼主很可能会遇到「人家都能免费玩游戏,我有好多想玩的玩不了,机器还老死机。去苹果店人家说机器被装了盗版软件,会有很大很大危害。楼主看起来好厉害,其实只会些三脚猫功夫乱弄。」这种里外不是人的境况。

    就我个人来说,即便楼主再理性地讨论这个问题,抱歉还是只能对楼主投以负面的情绪:楼主如果是自己想用那只能说是价值观的问题,但楼主竟然是去帮关系并不那么近的朋友,那只能说楼主的选择是相当愚蠢和短视。
    imn1
        33
    imn1  
       2014-12-27 13:19:46 +08:00
    @nAODI
    +1
    不是水果用户,但即使 win,别人要求我帮他装一些助手之类的东西,我先是劝诫,如果非要装,我一般都会加上一句话给他:你要有帐号被盗的觉悟我才帮你装
    yushiro
        34
    yushiro  
       2014-12-27 13:32:41 +08:00 via iPhone
    我只说一句,iphone丢了之后,不要被人钓鱼邮件骗到appleid的密码。各种敏感信息都可能被这种xx助手上传
    Heng
        35
    Heng  
       2014-12-27 13:37:42 +08:00 via Android
    @ilili 额 可以说你是有点多虑了。用Android的话这种风险才大
    ilili
        36
    ilili  
       2014-12-27 13:45:56 +08:00 via Android
    @Heng Android root时都会同时装上权限管理,所以觉得还好吧…iOS则没有,所以担心。越狱后我只装了ShadowSocks。不越狱的助手是用企业证书啥的直接装APP总觉得不安全…
    riophae
        37
    riophae  
       2014-12-27 13:55:15 +08:00   ❤️ 1
    @abelyao 哈哈我也点了~ :D 这位才是认真回答问题的态度嘛..
    riophae
        38
    riophae  
       2014-12-27 14:01:53 +08:00
    @nAODI

    这类 "助手" 软件其实是没办法利用你机器上登录的 Apple ID 来刷评论的, 毕竟拿不到密码. 丧心病狂的是有些软件允许你自己在软件里保存 Apple ID 和密码, 这样一来用助手就能更新那些来自 App Store 的正规应用了! 但是! 其实是他们把账号拿去刷榜刷评论了!

    更有甚者, 比如说 "X马助手", 直接提供给你事先注册好的 Apple ID.. 到底是何居心你已经明白了吧. 哪有白来的好事.
    efin
        39
    efin  
       2014-12-27 15:32:56 +08:00   ❤️ 2
    其实我理解LZ的这个事儿,IPAD在一些中老年人手里,觉得不好用,很大程度上是因为下载应用很不方便。有时候用这些助手只是为了更方便的下载应用。
    orvice
        40
    orvice  
       2014-12-27 15:34:29 +08:00
    肯定不安全。。
    ybh37
        41
    ybh37  
       2014-12-27 16:16:47 +08:00   ❤️ 1
    我仅仅是从技术方面来说,不是教大家盗版
    事情是这样的,apple分别在Win和Mac系统下各开发了一套iTunes,linux下的一些高手感觉憋屈,于是通过研究其通信协议,开源了一个 libimobiledevice 的东西,这就是这些×助手的技术基础。
    至于是否安全,要看这些软件的职业道德和企业操守。
    libotony
        42
    libotony  
       2014-12-27 18:41:44 +08:00
    @ysz1996 越狱没有不安全,安全与不安全在于使用习惯,越狱不是为了盗版而生,用盗版源跟用xx助手是差不多的,而且可以肯定的是,盗版源的插件安全风险绝对高
    libotony
        43
    libotony  
       2014-12-27 18:47:10 +08:00
    @ilili 企业分发app是苹果提供的渠道,只不过被滥用了,还是使用习惯的问题,安装的时候注意就好了
    dorentus
        44
    dorentus  
       2014-12-27 21:44:05 +08:00   ❤️ 1
    通过它们安装的应用可能会被修改。比如我可以下载一个应用,修改后用我的企业分发账号的开发者证书重新签名,然后你只要信任我的证书,就能成功装上(非企业分发账号其实也可以这么干,只是需要预先添加目标机器的 UDID,且有数量限制)
    然后如果你的设备没越狱,那么应该还好,这个应用里的数据有可能会被监听或篡改,然后可能它里面会用一些私有的 API,苹果对这些 API 并没有很认真地作过安全评估(因为毕竟 App Store 上的应用理论上都不能用它们),所有没准会有些能取到什么隐私信息、或者引起系统不稳定的;如果你的设备越狱了,那么自求多福吧……
    wheatcuican
        45
    wheatcuican  
       2014-12-27 21:54:49 +08:00
    @efin 这话说的太赞了!
    loading
        46
    loading  
       2014-12-27 21:57:12 +08:00 via Android
    修改一个app并不难,而让你安装这个app是很难的,但现在有渠道了。

    别提修改了,写一个新的流氓app,也许根本不能app store,但国内市场稍微给点小费,呵呵。
    jaylong
        47
    jaylong  
       2014-12-28 00:41:13 +08:00   ❤️ 1
    @nAODI 这才是用心的回答 一定要给点赞的
    @abelyao 另外同情一下楼主,一心要讨论技术的帖子被歪楼成了讨论盗版的问题,有些人就是太过敏感,大可不必在意。
    manhan9100
        48
    manhan9100  
       2014-12-28 01:22:01 +08:00 via iPhone
    使用未经过苹果审核的应用之前想想之前WireLurker。
    canautumn
        49
    canautumn  
       2014-12-28 02:02:26 +08:00
    换带指纹识别的ipad
    Heavytiger
        50
    Heavytiger  
       2014-12-28 09:53:42 +08:00 via iPhone
    总之你的支付宝什么的应用别从某某助手下载就可以了。
    hzqim
        51
    hzqim  
       2014-12-28 10:58:03 +08:00
    远离助手,管家,卫士,大师
    Epsil0n9
        52
    Epsil0n9  
       2014-12-28 15:24:34 +08:00
    想享受盗版就要有“被强X”的觉悟
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1382 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:40 · PVG 01:40 · LAX 09:40 · JFK 12:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.