太极团队在7月1日凌晨发布了iOS8.4***越狱工具,这本是一件令果粉感到欣慰的事,然而知名的互联网平台乌云在1日晚上曝出的一则消息却让果 粉不寒而栗。乌云官方微博声称,太极iOS8.4***越狱工具存重大安全后门,有导致木马等严重威胁用户安全的恶意软件感染设备的危险。
同时在官网上,乌云还公布了其测试太极越狱工具,重现漏洞演示的相关代码和详细细节,以给用户和太极官方提出警告。
对于太极越狱工具存重大隐患一事,果粉纷纷表示感到震惊和担忧。乌云报告中提到的太极曾动用100万美金“收买”国外越狱黑客捆绑太极助手(现在更名为3K助手)一事,也让果粉再度想起太极过往的历史污点,以及对太极的背景产生好奇和担忧。
一、太极的背景
关于太极的来历,在iOS7.0.6越狱强制捆绑太极助手风波后,许多用户就在越狱社区以及知乎上有过讨论,由于太极的手法跟某数字公司过于相似,许多人了猜到了七八分。
更让人佩服的是有网友通过技术手段生生地扒出了太极的背景。http://www.zhihu.com/question/22340844
事实上圈内人也早就知道快用/3K和太极拥有共同的背景,说白了也就是一家子。当然如果没有损害用户的利益,这也没什么。然而太极当时偏偏不这么想,流氓做法惹怒了用户,也难怪被用户扒出了老底。
二、要做中国的Cydia,太极***染指商业越狱!
说到 太极曾支付evad3rs高达一百万美金让evasi0n7强制安装“太极助手”的闹剧,稍微有点资历的越狱果粉们肯定都有印象。
2013年12月22日,国外黑客团队Evad3rs发布了iOS7.0.6***越狱,但让中国用户感到气愤的是,其中国版越狱工具强制用户捆绑安装 “太极助手”(现更名3K助手),并且取代了越狱商店Cydia。Cydia是越狱的标志,果粉越狱后都喜欢通过Cydia安装插件,没有Cyida越狱 也就名存实亡了。此外,捆绑了太极助手的越狱工具存在各种不稳定性,大量用户遇到白苹果现象。太极的做法导致越狱社区充满了哀怨和愤怒。随后 Evad3rs不得不做出让步,发布新版取消捆绑太极助手,重新集成了Cydia。
事情到这还没结束。太极与Evad3rs的做法也同样遭到了越狱同行的指责。甚至twitter、新浪微博和包括福布斯在内的许多国外媒体都曝出了太极用100万美金“收买”Evad3rs,迫于压力,Evad3rs才暗中把钱退回了。
虽然太极意图取代Cydia的阴谋没有得逞,但却帮助他打通了从国外黑客手中购买漏洞的途径,太极方面通过购买的漏洞,发布了iOS8.1.1越狱,并 包装出“一个中国人的越狱”博取噱头。让人想不明白的是,太极一方面从别的黑客手中购买漏洞用于商业越狱,推广自己的助手;另一方面又指责国内另一家越狱 团队获得了资金赞助。
另外,尽管在iOS7.0.6越狱时受到了广泛的舆论指责,而太极方面一直还存有取缔Cydia的企图。在某次会议上,太极透露过相关信息。
再说回乌云公布的漏洞报告,太极越狱工具留下的后门究竟会给用户信息安全带来多大威胁呢?
从乌云的介绍来看,太极后门可能会导致用户设备出现木马等严重威胁用户安全的恶意软件,此后门允许任何软件盗取用户信息。举例来讲,私密照片可能被公 开,Apple ID可能被拿去经营在中国有风风火火之势的刷榜行为,严重的还会危及支付宝、手机银行等重要App的安全,直接导致用户财产丢失。
也因此乌云郑重地警告用户“在太极越狱后的iOS设备上,用户一定慎用支付宝、微信、手机银行等重要APP,同时尽量不要安装来历不明的软件”。
此外,对越狱技术有相关了解的人士表明,该后门并非留下才能越狱!这就让用户更加难以理解太极的意图了!也难怪用户会因某App莫名其妙地出现在手机上而再次对太极产生质疑了。
结合太极的背景、历史污点以及乌云发布的报告,太极越狱实在难以让人户放心。在此也希望国内用户能提高隐私保护意识,越狱一定要选择有安全保障的工具,等到成为“XX门”的主角,一切悔之晚矣!