iPhone安装iOS描述文件有风险吗?

发布网友发布时间：2022-04-08 23:56

共4个回答

懂视网时间：2022-04-09 04:17

以苹果6为例，其ios安装描述文件不会对您的安全造成影响，实在有顾虑的话可以随时删除它。 iOS系统属于沙盒机制，它不允许任何程序越级运行，一个程序只能读取自己的数据，其他程序的数据无法读取也无法查看。而描述问题其实就是一个网页证书，它无法窃取信息，只能固定打开某网页。

　　iPhone6这款设计图出自设计师卡萨巴-纳吉（Csaba Nagy）之手，而在他眼中的iPhone6应该朝着透明的方向靠拢。因而，他将该设备打造成了一款极薄、透明，且内置有可互动玻璃外观的“神机”。据悉，iPhone6拥有一个内置有LED灯的HOME键，只有在用户按下时才会亮起。而且，该手机还具备有全息投影功能，可以将手机画面投射到一块相对更宽的背景中。这款iPhone6设计图出自莱恩-安妮（Ran Avni）和西蒙-伊恩文吉斯塔（Simone Evangelista）之手。

该机所采用的是4.7寸屏幕、搭载A8处理器、内置1GB内存，并配备了1810mAh电池。而且，该设备的整机厚度仅为6.5毫米。由设计师ISKlander Utebayev创作的这款iPhone6设计图完全取消了原本的实体按键设计，并以数字虚拟按钮的形式进行了替代，科技感非常足，而且整体上看效果也是非常酷炫的。被列入果粉最爱的iPhone6概念机设计列单中也是十分够格的。

热心网友时间：2022-04-09 01:25

有很多安全风险。

基于iOS描述文档可能做到的恶意行为

1、中间人劫持通信

描述文档可以设置“全域HTTP代理服务器”，可以设置代理服务器后监管该设备所有http数据；该方式曾在2015 blackhat us会议上讲过，以及“VPN”功能，同样可以监听所有通信数据。

2、流氓推广

描述文档有一个设置“web+clip”的功能，可以在桌面显示一个指定url的图标，并且可以设定无法删除，非常适合用于流氓推广，且上文中fake+cydia就是使用该方式，另外如果设置无法删除图标后，需要删除该描述文档才能删掉图标。

3、恶意*设备正常功能

“取用*”设置栏，可以关闭设备许多正常功能，更甚至禁用删除app、禁止修改密码，易被恶意利用*设备正常使用。

4、添加证书，伪造https网站

描述文档允许安装证书，PKCS1和PKCS12分别如下：

PKCS#1：RSA加密标准。PKCS#1定义了RSA公钥函数的基本格式标准，特别是数字签名。它定义了数字签名如何计算，包括待签名数据和签名本身的格式；它也定义了PSA公私钥的语法。

PKCS#12：个人信息交换语法标准。PKCS#12定义了个人身份信息（包括私钥、证书、各种秘密和扩展字段）的格式。PKCS#12有助于传输证书及对应的私钥，于是用户可以在不同设备间移动他们的个人身份信息。

如果被添加的证书属于根证书（不确定非越狱情况下是否可安装），则易被利用伪造，可参考：联想预装Superfish、戴尔预装eDellRoot证书事件，其中戴尔更预装了eDellRoot证书私钥，极易被逆向分析出密钥而被利用。

而当浏览器访问任何预装此类证书的https页面时，不会有任何安全提示，从而容易伪造各类网银、邮箱等隐私的https网站。

5、越狱环境下证书显示与实际存储不同步

iOS系统下有一个有一个sqlite3文件，其绝对路径为：“/private/var/Keychains/TrustStore.sqlite3”

该文件中存储的才是当前设备真正信任的证书列表，而通过“Settings”->“General”->“Profiles”查看到的证书列表与该文件中存储的证书列表可以不同步，如果我们手动对该sqlite3文件进行更改，就能让手机实际的可信证书列表与在“Profiles”中看到的完全不一样。

如果攻击者通过越狱插件、甚至是通过某些猥琐手段逃过App Store检查的恶意应用，对已越狱的iphone手机上的文件“/private/var/Keychains/TrustStore.sqlite3”进行修改。

向其中插入了一张攻击者证书，例如burp suite证书，攻击者就可以在受害者的网关上神不知鬼不觉的进行中间人攻击（当然level3安全级别下的应用是没门的），受害者完全不知情。

因为受害者通过“Settings”->“General”->“Profiles”查看可信证书的时候，不会发现任何异常，即可以在不显示证书的情况下窃取受害者数据、进行篡改等。

所以，对于已越狱的手机，不要以为“Settings”->“General”->“Profiles”下没有安装一些奇奇怪怪的证书就高枕无忧了。

热心网友时间：2022-04-09 02:43

有一定的风险，如果描述文件就是通过外部安装的，如果证书是安全的就没问题，输入锁屏密码安装就可以，希望能帮助到你。

热心网友时间：2022-04-09 04:18

付费内容限时免费查看回答亲，您好，这这道问题由我来帮你解答，正在为你解答，请你稍微等待一会，希望我的解答可以帮助到你，祝你生活愉快。

你好，会存在一定的风险，建议确定好后再安装。

描述文件有设置“web+clip”的功能，可以在桌面显示指定url的图标，可以设置为无法删除，非常适合流氓宣传，上面的fake+ cydia 是使用的方法。另外，如果设置了不能删除的图标后，需要删除描述文件才能删除图标。

提问

回答你好，你的问题是什么呢？

提问谢谢解决了