想要安裝越獄工具,都必須依賴 Cydia Impactor 工具透過自己的 Apple ID 帳號與密碼來簽名安裝IPA,不過最近有款工具 AppSigner ,開發者自稱這是款網頁版本的 Cydia Impactor 替代品,但是這款工具真的安全嗎?如果你正想要使用,建議不要去嘗試並遠離它,防止造成 Apple ID 與密碼外洩,甚至被竊取。
Cydia Impactor 為什麼安全?最主要是來自越獄圈相當有公信力的 Cydia 之父也是兼創作人 Saurik(Jay Freeman)所開發,基本上是可以很確認無任何安全性問題。
但是有其他開發者似乎將腦筋動到 Cydia Impactor 上面,打算透過網頁版本開發類似 Cydia Impactor 功能,被稱為 AppSigner ,也引起不少人注意,不過 Saurik 立即在 Reddit 上公開反對這款工具,並且提出了幾項安全性問題與質疑,底下就大致上整理
- AppSigner 是一款非常不安全的工具,嚴重警告所有人不要去使用它。
- AppSigner 所用方式是將identifiers 先傳送到私人伺服器後再轉給 Apple,這樣是不對的,Cydia Impactor原本同樣也可以這樣做,但是我沒有這樣做,不應該透過伺服器去儲存 Apple ID帳密,這已經關係到帳號隱私和安全,沒人可以確定伺服器內是否會趁機紀錄竊取用戶 Apple ID 與密碼。
- 如果伺服器被攻擊與透過程式碼漏洞入侵,你所建置的 IIS 正執行ASP.NET 和 SQL Server 內所有資料就會全部被竊取。
- 且 AppSigner 網站又並非使用 SSL 憑證,導致另一個更危險的問題,駭客可以從中間去竊取用戶的帳密。
除此之外,連同 unc0ver越獄工具開發者 pwn20wnd 也同意 Saurik 說法,也一起呼籲所有用戶請遠離AppSigner,不要去使用。
特別注意這款工具,就如同 Cydia Impactor 是可以給無越獄用戶線上簽名 IPA ,並不代表無越獄用戶就不需要注意,而是要更提高警覺。
儘管有沒有越獄,也都要注意安全性問題,網路上通常會有不少的誘惑和欺騙,就是想吸引用戶掉入陷阱,才會導致沒越獄過的用戶會更容易遭到 Apple ID 與密碼被竊,這種情況不時都是在發生,原因是為什麼呢?
大家應該心底很清楚,多數都是為了裝免費破解、盜版工具,認為沒越獄就不會造成安全性問題,卻不知道 iOS 不少漏洞都是靠安全團隊和研究開發人員回報修補,如果 0day 漏洞沒回報就會一直被利用。另外也提醒,請勿去看 YouTube 上的假越獄工具,如 iOS 12 越獄推出時,在瘋先生網站上一定會有教學。
也建議如果想要透過Cydia Impactor 裝 IPA ,也請注意來源是否安全與有公信力,才能減少設備安全。
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、瘋先生LINE@、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。