Enpublic Apps: Security Threats Using iOS Enterprise and Developer Certificates

Ad Hoc distribution

  • 开发者需要注册测试机,并且测试机的数目<=100.
  • 通过iTunes 或者 iOS RPC communication library (e.g.libimobiledevice) 安装ipa.

In-house distribution

  • 无设备数目限制
  • 支持OTA安装 (e.g. iPA + XML manifest file)
<a href="itms-services://?action=downloadmanifest&url=http://www.example.com/manifest.plist">Install App</a>

Device访问ocsp.apple.com验证distribution certificate的有效性。

Sensitive Information Leakage on Local Data Storage

iOS RPC communications library (e.g. libimobiledevice)能够通过USB访问app的数据。

在iOS 7.0中,尽管当手机连接电脑的时候,会提示用户是否信任电脑。 假如用户选择"不信任", iTunes将不能访问手机,但是libimobiledevice将依然可以。

Ref

Show Comments