JSPatch的安全漏洞是怎么回事
展开全部
一般来说,为了实现动态打 Patch 的能力,JS 脚本一般会在需要的时候从服务端下载,而这个过程中存在被中间人拦截的可能性,中间人把下载内容替换为他自己的脚本,从而控制 App。当然这一切建立在你并没有实现 JS 脚本加密的基础上(传输上https,脚本本身RSA等),这不是 JSPatch 的锅;
第二,App Store 以其审核严格著称,使用私有 API 等是被严格禁止的,动态能力也相对较弱,JSPatch 无疑为实现动态能力提供了一个途径,尤其是 Apple 并没有禁止动态加载 js 脚本的功能。那么意味着,App 的厂商是有能力动态地执行一些不可靠人的后门程序或者执行私有 API 之类的,但是没有 JSPatch 也可以实现这个功能,只不过 JSPatch 提供了更大的灵活性。当然,这也不是 JSPatch 的锅。
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
