『壹』 苹果手机安装屏蔽更新描述文件安全吗有风险吗
安全无风险,屏蔽更新描述文件是苹果tvOS的内测文件,只是屏蔽更新信息。
『贰』 苹果安装黄色描述文件安全吗
安全无风险,屏蔽更新描述文件是苹果tvOS的内测文件,只是屏蔽更新信息。如果还是不放心可以直接删除,删除的步骤如下:
需要工具:iphone11。
系统版本:ios14。
1、以苹果11为例,首先进入iPhone主页点击设置,如下图所示;
『叁』 安装了iPhone的这个描述文件有危险吗
一般没有风险,APN主要是设置上网的参数,是为了让软件正常运行。
建议不要随便安装未知应用。
『肆』 安装描述文件要密码安全吗
刚接触苹果手机试玩安装试玩平台的时候肯定有这样的顾虑跟疑问,安装苹果手机试玩平台提示“未受信任的企业级开发者”或“配置安装描述文件”,是否安全?对手机有什么危害吗,毕竟安装的配置描述文件的时候还要输入锁屏密码等,属实让人有点不放心。下面笔者就给大家说说为什么要这样。 凡是从苹果AppStore应用商店中下载的平台助手,无需设置”信任“应用。但是不是在苹果应用商店App Store里面下载的应用并且苹果手机系统是在IOS9以上的系统基本都是需要手动来信任一下企业级开发者。 而苹果试玩平台大部分都不是在AppStore应用商店里面下载的,是从第三方页面自动下载到桌面的,所以就需要我们来手动信任该企业级应用,那么这一些试玩平台为什么不投放到AppStore应用商店让我们下载?因为苹果应用商店是不认可手机试玩刷榜的,就是类似于刷单,所以就不准这类应用上架到AppStore里面,部分试玩平台是伪装成了正常应用所以可以在AppStore里面下载到。 信任企业级开发者是完全没有风险跟危害的,不单单只是试玩平台这样,有的其它应用也是需要信任企业级开发者的,信任企业级开发者只是让该软件能快速地将设置和授权信息载入到设备上,下面来教大家如何信任企业级开发者。 1、打开苹果手机“设置”; 2、找到“通用”; 3、选择“描述文件和设备管理”或“设备管理”; 4、在描述文件页找到相应的描述文件,选择信任即可。苹果手机试玩需要我们安装“描述文件”这类平台助手,需要安装“描述文件”是为了获取到手机的UDID,助手才能够使用。UDID可以理解为”手机的身份证号“,平台识别手机的UDID主要是为了防止用户刷机作弊等行为,苹果手机只要不越狱是非常安全的,iOS系统属于沙盒机制,它不允许任何程序越级运行,也就是说,一个程序只能读取自己的数据,不能调用到其它程序信息。
『伍』 在苹果手机上安装一个配置性描述文件变成了app感觉不安全应该怎么处理
删除描述文件即可。
准备工具:iPhone 11。
系统版本:iOS 14.5。
步骤一、手机桌面点开设置。如下图所示:
『陆』 iPhone安装iOS描述文件有风险吗
有很多安全风险。
基于iOS描述文档可能做到的恶意行为
1、中间人劫持通信
描述文档可以设置“全域HTTP代理服务器”,可以设置代理服务器后监管该设备所有http数据;该方式曾在2015 blackhat us会议上讲过,以及“VPN”功能,同样可以监听所有通信数据。
2、流氓推广
描述文档有一个设置“web+clip”的功能,可以在桌面显示一个指定url的图标,并且可以设定无法删除,非常适合用于流氓推广,且上文中fake+cydia就是使用该方式,另外如果设置无法删除图标后,需要删除该描述文档才能删掉图标。
3、恶意限制设备正常功能
“取用限制”设置栏,可以关闭设备许多正常功能,更甚至禁用删除app、禁止修改密码,易被恶意利用限制设备正常使用。
4、添加证书,伪造https网站
描述文档允许安装证书,PKCS1和PKCS12分别如下:
PKCS#1:RSA加密标准。PKCS#1定义了RSA公钥函数的基本格式标准,特别是数字签名。它定义了数字签名如何计算,包括待签名数据和签名本身的格式;它也定义了PSA公私钥的语法。
PKCS#12:个人信息交换语法标准。PKCS#12定义了个人身份信息(包括私钥、证书、各种秘密和扩展字段)的格式。PKCS#12有助于传输证书及对应的私钥,于是用户可以在不同设备间移动他们的个人身份信息。
如果被添加的证书属于根证书(不确定非越狱情况下是否可安装),则易被利用伪造,可参考:联想预装Superfish、戴尔预装eDellRoot证书事件,其中戴尔更预装了eDellRoot证书私钥,极易被逆向分析出密钥而被利用。
而当浏览器访问任何预装此类证书的https页面时,不会有任何安全提示,从而容易伪造各类网银、邮箱等隐私的https网站。
5、越狱环境下证书显示与实际存储不同步
iOS系统下有一个有一个sqlite3文件,其绝对路径为:“/private/var/Keychains/TrustStore.sqlite3”
该文件中存储的才是当前设备真正信任的证书列表,而通过“Settings”->“General”->“Profiles”查看到的证书列表与该文件中存储的证书列表可以不同步,如果我们手动对该sqlite3文件进行更改,就能让手机实际的可信证书列表与在“Profiles”中看到的完全不一样。
如果攻击者通过越狱插件、甚至是通过某些猥琐手段逃过App Store检查的恶意应用,对已越狱的iphone手机上的文件“/private/var/Keychains/TrustStore.sqlite3”进行修改。
向其中插入了一张攻击者证书,例如burp suite证书,攻击者就可以在受害者的网关上神不知鬼不觉的进行中间人攻击(当然level3安全级别下的应用是没门的),受害者完全不知情。
因为受害者通过“Settings”->“General”->“Profiles”查看可信证书的时候,不会发现任何异常,即可以在不显示证书的情况下窃取受害者数据、进行篡改等。
所以,对于已越狱的手机,不要以为“Settings”->“General”->“Profiles”下没有安装一些奇奇怪怪的证书就高枕无忧了。
