前段时间,我为了不让父母饱受“垃圾 App”的危害,将他们的手机都换成了 iPhone。没办法,父母使用 Android 手机的代价实在是太大了。
由于父母对手机的操作并没有那么熟练,经常会莫名其妙安装各种垃圾软件,导致手机弹窗不断,哪里都有广告的身影。更有些软件仗着父母不懂权限的意义,各种盗取个人信息,说实话我是真的怕了。
虽然 iPhone 在某些情况下的流畅性和功能性已经不如安卓了,但也不得不承认,正是因为 iOS 系统的封闭性,让其有了更安全的使用环境,很多消费者购买 iPhone 设备都是奔着这一点去的,除此之外,iPhone 对于中老年用户也更友好一些。
除了我以外,身边不少朋友也都和我有着一样的想法,并为父母购置了 iPhone 使用。
本来我以为这件事这样就解决了,但如今,随着一份法案的加入,iOS 将会面临着前所未有的大变化。
iOS 也不保险了。
在去年 3 月份,欧盟制定了一份旨在规范大型互联公司运营的《数字市场法》,并且在 11 月 1 日正式生效。这份法案主要为了禁止某些“既当裁判又当选手”的守门人,利用其在数据共享、软件安装、平台选择、广告推广等优势地位,来获得高额垄断利润或限制市场竞争,要求其操作系统打开允许安装多个应用程序商店的权限。如果公司违反规则,会被处以一个财年全球营业额 4%~20% 的罚款。
《数字市场法》的出现,让苹果不得不考虑这方面所带来的影响。
前段时间,彭博社 Mark Gurman 的最新报告表示,苹果已经开始在让工程师去准备一个新项目,对 iPhone 上的 App Store 策略进行重大调整,在正式开放侧载之前允许 iPhone 和 iPad 上使用第三方应用商店,以此让设备绕过 App Store 安装某些程序。
这一改变,很大可能会出现在明年的 iOS 17 上,并且会伴随更多的开放性举措,比如开放 NFC、支付方式等功能上的变化。
让 iOS 安装第三方应用的操作,被称为侧载,所谓侧载就是让用户可以通过自有途径(比如网页、安装包等)去安装没有经过审核的应用,这也是 Windows、Android 一直在采用的软件安装模式,如果苹果彻底开放侧载,换句话说,苹果距离变成 Android 就不远了。
此前库克在侧载问题上有着非常坚决的态度,在纽约时报 DealBook 峰会上就曾表示:“如果你想侧载 App,那你可以买一部安卓手机。”并且在会上将侧载比喻为一家汽车制造商,销售没有安全气囊或者安全带的汽车,表示这实在是太冒险了,希望用户在安全和受保护的平台或允许侧载的生态系统之间做出选择。
除此之外,苹果也表示,侧载是“网络犯罪分子最好的朋友”,会让消费者容易受到恶意软件、诈骗、数据跟踪等攻击。
从欧盟这一法案来看,其实最主要限制的,还是防止苹果利用 App Store 的优势,来对应用内充值进行高额抽成。由于游戏开放商本身不具有分发渠道,所以当应用上架后需要与分发平台,也就是应用商店进行合作,此前苹果一直向开发者收取 30% 的“苹果税”,并且没有其他应用商店平台,属于一家独大的情况。
iOS 的系统安全受到破坏,属于是“城门失火,殃及池鱼”。
对于消费者来说,侧载还是一个比较陌生的词,如果开放侧载,很多朋友都想象不到会有多大改变。
苹果并非没有第三方应用的安装方式,只不过这些方式都较为繁琐,提高普通用户的操作成本,提高消费者误操作的门槛。
仅我知道的,就有多种方式来安装一些无法在应用市场上架的应用。
首先是安装测试版软件,iOS 端的应用在上架 App Store 前如果需要测试,就会通过官方的一个名为 TestFlight 的软件上架一个测试版本,用于给开发者进行测试,只需要输入邀请码或者网页链接,就可以进行体验。
但值得一提的是,TestFlight 上架的应用不需要经过苹果的审核即可上架,也就是说苹果提供了一个第三方应用的安装渠道。有很多色情、赌博、诈骗、恶意推广的软件为了规避审核,就会通过这样的方式让用户下载。
其次就是自签安装的方式。由于开发者需要安装一些本地应用进行测试,而 iOS 又不能像 Android 一样安装应用,所以苹果提供了一种验证开发者后安装本地文件的方法。
自签安装的关键是证书,证书分为个人证书和企业证书,通过证书来给本地应用(.ipa)授予权限,通过系统的信任。
能够自签的方式很多,比如 Sideloadly、爱思助手、AltStore 等,需要个人 AppleID 账号进行操作,不过这样的缺点也较为明显,那就是这个签名的生效期只有 7 天,7 天后就需要重新签名安装。
由于自签的方式操作成本较高,操作者的防范意识也比较充足,目前还没有出现较大规模的安全问题。
再者就是通过描述文件安装应用。这一操作与刚刚聊到的自签安装有点相似,不过操作较为简单,仅需要安装描述文件就能安装第三方应用。
但值得一提的是,这也是最危险的安装方式。
描述文件一般分为两类,一类是官方描述文件(iOS Beta 更新等),一类是企业 App,描述文档在安装时会提示签名者和安装网址,并且输入设备密码,意味着如果你一旦确定这一签名者,就会将设备权限交给这一应用,自身承担风险。
除了绕过 App Store 之外,描述文档内还包含了很多设备的授权信息,比如网络配置、访问权限、安全策略等等。如果安装了未知来源的描述文件,就代表着你的设备可能会受到劫持通信、流氓推广、限制设备正常功能、伪造网站等等。
换句话说,如果这个描述文件安装的应用带有恶意,那么你的设备隐私基本就会暴露出来。由于操作简单,目前很多色情、赌博类应用都是通过这一方式进行宣传推广,危害巨大。
最后一种就是通过越狱,去安装 Cydia,获取第三方软件或者补丁,这一操作的学习成本高,并且还需要设备的硬件和系统版本支持,操作者也要有一定的安全意识,算是比较麻烦的方法。
直到目前,iOS 设备也并非绝对安全
我个人是强烈不建议各位安装第三方应用的,试想如果应用足够守规矩,为什么还要规避官方检测呢?
事实上,即便在苹果严格的监管下,iOS 设备还是有着一定的风险。
在今年 9 月份,HUMAN 的 Satori Threat Intelligence 团队的报告称:在手机商店中有多达 10 个包含“广告软件”的应用程序。而这些应用程序通过冒充合法应用程序、并仅向苹果(iPhone)用户展示广告从而进行创收。
前段时间,苹果官方也确认了 iOS 设备存在于 WebKit 的一个零日漏洞,iPhone 8 以上的设备都受到了影响,虽然已经进行了更新修复,但已经有证据表明黑客在 2021 年 10 月之前就已经利用了这一漏洞,并且发起了攻击。
截止目前,也有不少不法应用套着正经的壳子,上架在 AppStore 当中。
如果苹果允许安装第三方应用商店,我甚至能够想象到 iOS 混乱的情景。
以 Android 为例,侧载会让各应用商店上架不同版本号的应用。这就导致了进入 App 后会因为各种版本号不一致,要求对应用进行更新,每次进入都会进行提示,实现初步的混乱。
并且以目前 Android 应用商店的玩法来看,很可能会推出各种限定版软件,并且区别索取各种权限,实现区别对待。
比如你想要体验完整版(更多权限)功能,那对不起,只能到指定应用商店进行下载,如果是游戏的话,还会区别各种商店版本服务器。
除此之外,iOS 支持第三方应用商店还会出现一个严重的问题,就是分成问题,各家应用商店的软件分成不同,比如苹果收取 30%,那其他应用商店收取 20%,甚至独家软件收取 50%。成本提高了,充值价格自然也会提高,各大应用商店会以 iPhone 为战场,不断和 AppStore 进行厮杀,受苦的只能是消费者。
在这一基础上,用户安全性也会有很大的影响。
刚才我们也聊到了,目前 App Store 仍旧有一些违规软件在上架。App Store 一向以严格著称,苹果尚且如此,我不相信第三方会做的更好。如果应用商店放松管控的话,如今的 Android 就是 iOS 未来的下场。
比如我们从第三方应用商店下载应用,到处都是弹窗和广告,并且还会盗取你的通讯录信息和短信信息,这样的系统环境就不再适合中老年人。
再或者有一些软件,索取权限为 iOS 提供各种莫名其妙的功能,结果因为某项功能的冲突导致手机死机,这种目前 Android 的常见现象,也会延伸到 iOS 当中。
到时候消费者是骂这个软件,还是对着苹果开炮?
大概率是苹果。
如果苹果妥协了欧盟的要求,那么其他国家自然也会施以重压,要求苹果开放。所以,如果 iOS 真的提供了第三方应用商店,我个人建议还是使用 AppStore,拒绝所有未知来源的应用。
为了自己,也为了未来的 iOS 软件环境负责。
本文来自微信公众号:不客观实验室 (ID:zhinan617)作者:ByArsT
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。