授权界面的主标题是无法定制的，而且非常醒目，能自定义的是授权请求描述，视觉权重远低于主标题。

引用:

原帖由 小文 于 2015-9-18 20:11 发表

你没见过那种吗？先app自己弹出一个窗口，说些允许访问通讯录如何如何好，想怎么醒目怎么醒目，然后再去访问通讯录触发授权确认。这样可以大大提高用户点允许的几率。

前面也说了，这些都是业务层面的引导或是诱导，但并没有突破框架约束，也没有绕过安全机制。
现在关注的是非越狱环境，有无突破的可能，暂时没看到成功案例。

引用:

原帖由 zhang777 于 2015-9-18 21:12 发表
posted by wap, platform: Chrome
你理解的恶意代码和这里的恶意代码是两回事。这里说的就是把被编译的程序中的信息往第三方服务器上传，就算不能获得机器里面其他app的数据，或者全局的数据，只要这段代码能把有程序 ...

回看了下帖子，确实是我想错了方向。

被篡改的xcode，等于集成了一个第三方分享的sdk，功能就是把TextField的输入值上传外网，而这也确实算是个合法的ipa。

不过这种就是属于恶意业务逻辑了，app store审核不出？

引用:

原帖由 limboking 于 2015-9-18 22:55 发表

app store哪知道你代码里写的什么...

编译器是他们的，反编译什么的都是轻轻松松，但据说他们没空看代码，肯定有自动化手段。

app store审核政策非常严格，合法ipa都是屡屡被卡。

看看他们的政策：
17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。


所以想通过alertview的确认，就直接调用上传功能，应该是会被卡的，也不知道国内这些app是怎么混过去的。

也不知道网易这些公司的测试组是干什么吃的。
恶意业务逻辑上传数据，网络中完全可以截获，难道他们不抓包分析的么。