アカウント名:
パスワード:
企業内のアプリケーション作成/配布担当者が悪意を持ってマルウェアを配信したら、どんなシステムだってイチコロだよなあ。いちいち正規アプリの置き換えとか必要ある?ちなみに、タレコミにある隠しAPI云々とかサンドボックスをバイパス云々のくだりは単なる妄想?
正規アプリだと誤認させてそこに文字を打たせることに意味があるんでないかな?認証情報にアクセスできる権限あってもiOSの管理データはしっかり暗号化されてるから盗み出したところで何の価値もないある意味セキュリティがしっかりしてるからユーザー自身に生で打ち込んでもらうアナログハック手法が必要なんだろう
あと隠しAPIというか、非公開のAPIは確かにあるね。ヘッダのダンプさえしてしまえば簡単に取り出せるアクセス権さえ取れてればアプリ範囲外のデータまで一応操作できるとはいえユーザー側の操作でアクセスを許可するダイアログを押さなきゃいかんからなぁ
>サンドボックスをバイパスして既知の脆弱性を突くたぶんプライベートAPIのこと言ってんじゃないかな。書き方的にこの人自身の知識が薄そうだけど…
まあなんにしろ、こういうのに引っかかるのは非公式は自己責任って理解できないアホか、情弱が背伸びして変なモン踏むくらいのもんでしょうな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
企業内でのアプリ配信の仕組みを利用して (スコア:0)
企業内のアプリケーション作成/配布担当者が悪意を持ってマルウェアを配信したら、どんなシステムだってイチコロだよなあ。
いちいち正規アプリの置き換えとか必要ある?
ちなみに、タレコミにある隠しAPI云々とかサンドボックスをバイパス云々のくだりは単なる妄想?
Re: (スコア:0)
正規アプリだと誤認させてそこに文字を打たせることに意味があるんでないかな?
認証情報にアクセスできる権限あってもiOSの管理データはしっかり暗号化されてるから盗み出したところで何の価値もない
ある意味セキュリティがしっかりしてるからユーザー自身に生で打ち込んでもらうアナログハック手法が必要なんだろう
あと隠しAPIというか、非公開のAPIは確かにあるね。ヘッダのダンプさえしてしまえば簡単に取り出せる
アクセス権さえ取れてればアプリ範囲外のデータまで一応操作できる
とはいえユーザー側の操作でアクセスを許可するダイアログを押さなきゃいかんからなぁ
>サンドボックスをバイパスして既知の脆弱性を突く
たぶんプライベートAPIのこと言ってんじゃないかな。書き方的にこの人自身の知識が薄そうだけど…
まあなんにしろ、こういうのに引っかかるのは非公式は自己責任って理解できないアホか、情弱が背伸びして変なモン踏むくらいのもんでしょうな。