奇密,又称FantasyPass,是一位由国人Cheng Kai开发的iOS版本兼容keepass密码库的密码管理软件。
首先,感谢开发者的辛勤付出,为我们带来了,一个功能强大、便捷的Keepass的IOS客户端。
接下来,聊一聊这款APP的注意事项与不足。
使用之前,请注意,这款软件的源代码并没有开源,也未经过keepass的相关成员进行审核。
BUG:
后续有相应BUG或功能缺失,还会在此记录更新。
在使用webdav进行同步时,奇密会将密码项中,带有自定义图标的项目的历史记录时间,更改为你同步的时间,你每同步一次,最近修改时间也会更改一次,这属于一个重大BUG了。已反馈给开发者,但迄今为止,这个BUG依然未修复。
下图为网友测试记录。使用奇密同步会导致你用PC端打开keepass时,会默认打开视窗分组(keepass默认分组之一),或者打开最顶级分组。keepass的原本设计是,默认打开你最近保存记录的分组。
功能不足:
- 在生成密码功能上,并没有如同KeePass2Android或者Strongbox一样,兼容keepass的密码设置选项,如:生成密码时,排除相似字符、至少含有每种字符一次、不成生成相同字符等。这个看似无所谓的功能,不含实则是一种安全疏漏,减弱了密码安全,也不方便用户使用。已给开发者反馈,但看他那个屌样,是不准备完善了。
问题:
关于备份通讯录功能。
这是个最令人迷惑的功能,备份成功后,能在数据库能读取通讯录的,只能是奇密,其他keepass软件是读取和恢复不了的,那么这个功能我只能在iOS上使用,但是我在iOS上,原有的iCloud就已经满足这个功能了,我为什么要用奇密来备份呢?
假设,如果,这个APP出现漏洞,导致数据库被恶意读取,那么我的密码数据和通讯录都被读取,不是直接被扒光了吗?通讯录暴露,等于亲朋好友和应急联系人等一些信息住址,全曝光了,进行社工,简直不要太容易了。不知道作者是以何种形式进行通讯录备份的,是直接保存进数据库?还是额外建立一个分组?都不算是一个刚需的功能,不建议大家使用。
关于第三方键盘 我熟知的,使用第三方键盘的,有安卓的keepass2Android,但这个已经开源很多年了,大佬们都扒过多次,安全性会相对高些。
而奇密的第三方键盘,是他自己弄的,至于是使用了别人的开源代码,还是自己写的,无从得知。如果不输入密码,奇密是无法读取数据库内部数据的,自动填充也是使用的iOS系统填充,这是安全的,但是如果你使用他的第三方键盘,是可以直接读取出来所有数据的。一个闭源独立开发者的软件,这功能并不是能令人安心的。关于后台网络访问记录
在使用一段时间后,我发现了奇密有几个网络访问记录:
tpns.qq.com
ocsp.usertrust.com
is1-ssl.mzstatic.com
www.icbc.com.cn
itunes.apple.com
dav.jianguoyun.com其中异常的有,tpns.qq.com和www.icbc.com.cn两项,第一个疑似腾讯移动推送服务,第二个为工商银行。
工商银行www.icbc.com.cn这项,我只能怀疑是在我新建该项时,手动选择了它图标导致的,否者我实在想不出,那个时间段会导致它联网的行为。
至于tpns.qq.com,这个是大问题,它的联网频率,接近于我更新坚果云服务器的频率,十分之频繁,我也从来没有操作任何能引起它连接该网络的行为。至发文时间,开发者没有给出任何解释。
下图中间为其他用户的异常记录,右侧为strongbox记录,对比可知。关于推送权限
奇密是有推送设置的,但是我在使用了1个月左右,没有收到过它的任何推送内容,那么它这个设置是为何而存在呢?
我在同类型软件上,是没有见到过索取该权限的,如strongbox、keepassium,这两个是keepass官网列出的第三方开源软件,可靠性要高于奇密。
希望FantasyPass能越来越好,不忘初心,修复BUG,完善功能。
说了这么多,也并不是在怀疑开发者有暗箱操作,本人也不是开源斗士,只是希望奇密能越做越好。
作者本人都在声明,引用了很多其他地方的代码,不方便开源。我们相信,作者是没有其他想法的,也有在认真审核这些第三方代码,但是,一个人的审核能力和精力毕竟是有限的,肯定不如开源社区审核的力度大。
而且由于引用了别的代码就不开源,这并不算是个什么理由。作者担心开源后,他的代码被剽窃,也说他之前开源的东西,被别人原封不动的不改,就上架App Store。进而又说App Store对此类密码软件管理严格,会着重审核。
那么是否知道,App Store对盗版和剽窃行为治理的更加严格呢?只要你能提交出原始代码,和你的证据,Apple会封禁那个开发者的。
而且功能成熟的,如strongbox、keepassium等,依旧开源,有见到哪些项目剽窃他的代码,进而上架?更何况不谈论其他一些iOS端的简陋开源keepass。作者本身的fantasypass是否有借鉴minipass或其他呢?如果没有,是从零写出一个能读取keepass数据库的APP吗?令人难以相信,一个人从零完成。