今天收到不少人给我发这篇新闻《曝mg游戏网站应用商店逾千款iOS应用存安全漏洞》，以及其他媒体转载或翻译的一些类似的新闻(1 2)，每次我都要解释一遍，比较累，写篇文章说说具体情况。

起因是网络安全公司 FireEye 发表了一篇 JSPatch 安全研究报告，里面介绍了 JSPatch 的使用，并指出一些潜在的危害，分三种情况：

1.开发者自己本身有恶意，在自己开发的APP里加上 JSPatch 引擎，用户安装后开发者自己下发恶意脚本，可以做一些恶意的事情。但这里做恶意事情的权限并没有超出iOS的沙盒，也就是说，有没有用 JSPatch 开发者能做的事是一样的，没有 JSPatch 开发者同样能在代码里实现好恶意功能，通过mg游戏网站审核后再开启，所以这条挺废的。

2.开发者接入的一些第三方 SDK 里包含了 JSPatch，SDK 的作者再对这些 APP 下发恶意脚本。这种需要开发者防范，避免使用一些恶意 SDK，目前还没有发现有这样的恶意 SDK。

3.开发者自己在 APP 接入 JSPatch，若开发者没有针对传输的 JSPatch 脚本加密。攻击者就通过网络传输的中间人攻击手段下发恶意脚本到用户APP。这点确实比较危险，接入 JSPatch 时请做好加密传输，只要做 RSA 非对称加密传输就不会有问题。加密方式可以参考之前的文章《JSPatch 部署安全策略》，以及项目自带的 JPLoader 实现。

除了以上这三种情况，接入 JSPatch 的 APP 没有其他问题。据了解大部分使用 JSPatch 的 APP 都已经做好非对称加密，并没有什么安全风险。FireEye 上提到 1200 多个 APP 接入 JSPatch，上述媒体文章直接断章取义成上千款 iOS 应用存在安全漏洞，不知道是看不懂原文，还是 KPI 压力的产物。