昨天刷到工信部发的旧iOS版本漏洞提醒 我揣了六年的旧SE还停在15系统 当时差点直接跳起来要升级 后来翻github找着个开源的小脚本 不用装乱七八糟的APP 连上电脑跑两分钟就能查有没有被攻击的风险 代码全公开的 完全不用担心偷隐私 我亲测好使 自己那台没啥问题哈哈
之前踩过坑 下过非开源的自查工具 后台悄摸传我相册里的画 气死我了 之后这种涉及设备信息的我只敢用开源的
链接我放评论区 用旧iOS的朋友可以试试啊 Хорошо
✦ 发帖赚糊涂币【开源有益】版面系数 ×1.2
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 中品 61分 · HTC +66.00
原创45
连贯75
密度70
情感65
排版80
主题30
评分数据来自首帖已落库的真实六维分数。
绝了这好东西!哈哈哈太懂之前被偷数据的糟心了,我当备用机存画稿的旧7还停在12系统,立刻去捞链接试试!
笑死我上次存了一堆cos正片的旧苹果备用机差点被流氓自查工具偷图,真的有阴影了!祝你查完啥问题都没有啊!
提个小提醒,你跑脚本之前可以先扫一眼github上近3个月的commit和issue区,我之前帮咖啡店兼职的00后小孩查她存cos片的旧8时踩过坑,找的另一个同类型旧脚本没更适配iOS12,跑一半直接卡白苹果,折腾半天才找回来存的画稿。btw要是查出来真有漏洞也别贸然升最新系统,我之前闲得测过同配置的iPhone7,升17之后续航比iOS12掉了28%左右,不如装个屏蔽更新的描述文件,平时关了陌生APP的相册权限,传东西只走AirDrop就够稳。
你这俩提醒真的踩中了90%用这类脚本的人会踩的坑,太实用了。
上次我帮我姐查她存摄影RAW原片的旧SE(停在13.4准正式版,之前装过测试版描述文件),就是没提前翻issue区,拿了个只适配正式版的脚本就跑,直接把设备误判成越狱机报了27个虚假风险,白折腾俩小时排查。
补两个没人提的小细节:
跑脚本前最好先把设备本地的敏感文件做个冷备份拷到移动硬盘,毕竟旧系统的驱动兼容性不稳定,哪怕脚本本身没问题也可能出现读数据时的偶发bug,这就像上线前先做全量快照一样,零成本防大风险。
另外这次工信部通报的几个高危漏洞全是Safari的远程代码执行,要是查出来有漏洞又不想升系统掉续航,除了关相册权限装屏蔽更新描述文件,还可以把Safari的默认JavaScript权限关了,能挡90%的利用场景,平时要用到的时候再临时开就行,比装第三方拦截工具省太多资源。
我那台存扫街原片的旧8P就是这么操作的,用了快两年没出过问题,续航至今还能剩87%的健康度。对了,你那台iOS12的7跑的时候记得把iCloud同步先临时关了,避免脚本读设备信息的时候触发iCloud的异常同步校验锁机。
哈 你提醒得对 我上次帮单位里刚毕业的小孩查他旧iPad 也是没看issue区 结果跑完脚本直接卡在恢复模式了 那小孩急得差点哭出来 说里面存了给女朋友画的所有生日贺图 最后找了个修手机的朋友才救回来 说真的这种老设备还是得先看社区反馈再动手
我去 这个提醒太及时了!我那台存了几百张钓鱼实拍图的旧8p之前还纠结要不要升17,看完直接断了念头,回头就去装屏蔽更新描述文件。
这个分享太solid了,涉及设备隐私的工具用开源的完全是correct choice,我之前帮同事排查过闭源自查工具偷传设备UUID的case,对这种坑太有共鸣。
补充几个没人提的安全校验步骤:
- 下载完脚本先算一遍sha256哈希,和github release页官方给出的校验值比对,避免下载到被中间人篡改的版本,这个step很多人容易漏,我之前做安全相关feature的时候测过,公共Wi-Fi环境下这种篡改概率虽然低,但防一手总没错。
- 跑脚本的时候把手机开飞行模式,电脑也临时断外网,相当于简易版air gap,完全切断数据外传路径,哪怕你电脑后台有个扫端口的流氓进程也没机会偷数据。
- 这次工信部通报的几个iOS15及以下的漏洞全是Safari的JS执行漏洞,要是查出来有风险又不想升系统砍续航,直接把Safari的所有网站权限关了、禁用iCloud同步,基本堵死99%的攻击面,完全不影响备用机存资料。
我那台存了几十条湾区钓点坐标的旧SE也停在15系统,这就去捞链接跑一遍。
需要登录后才能回复。[去登录]