聊聊小红书APP能直接进入开发者模式这个P0事故（蹭）

今天（6.18）有人传播小红书App可以直接进入开发者模式

用这个素材蹭个热度，从安全角度聊聊小红书的这个事，先直接上图吧

已经有人将该问题向官方反馈了，进入方式建议各位自行搜索（可以搜到，很简单）

我这里就不详细讲了（免责）

打个比方，把App比作一辆电动自行车，普通用户只能去骑这辆车，自己本身没有改装能力，即使你懂这方面的知识你也没有相应的工具进行操作，而开发者模式就是这个工具，通过它你可以去查看各种底层机械参数，监测车辆运行时的各种信息，模拟进行各种操作，甚至是去把一些防护功能关闭（比如：电动车的限速）。

所谓开发者模式就是给研发人员在APP上线前进行各种功能测试用的，正常操作是一个App在公司内部开发者安装包和上线安装包是完全分开的两个，要上架的App就不应该包含开发者模式这种能力。

可能是为了节约成本吧，这很明显代码上线的安全标准就不规范，直接把能力都塞到一个包里并且上架了。（吐槽一嘴：哪有这么干的？）

这个漏洞定级为严重绝对没得说的，相当于直接把App外面的一层防护给扒了

安全人员可以随意的对App进行代码逆向研究，绕过各种防护对App进行抓包测试研究更深层的漏洞，整个App相当于直接裸奔了，同时还能再二次封装，植入恶意代码后借着小红书的名号进行传播，达到对不知情用户的钓鱼投毒，危害极大。

至于修复，赶紧打热补丁把所有版本代码替换，给口子堵死，进行紧急止损。

然后规范内部安全流程，区分不同的版本进行管理，虽然有点晚了，但也得亡羊补牢。