• 请不要在回答技术问题时复制粘贴 AI 生成的内容
lisonfan
V2EX  ›  程序员

垃圾网易,开发 iOS 还用黑苹果? Xcode 还在百度上去下载?

  •  
  •   lisonfan · Sep 18, 2015 · 37138 views
    This topic created in 3940 days ago, the information mentioned may be changed or developed.

    关于最近非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码问题分析 : http://drops.wooyun.org/news/8864

    网易云音乐也被注入了!
    文明语言的网易,用了这么久,哎。
    以后都不敢用网易的东西了,太不严谨了。
    三石还是去卖你的猪吧

    Supplement 1  ·  Sep 18, 2015
    防止文章被删,我截图做个保存吧


















    Supplement 2  ·  Sep 18, 2015
    事情大条了,
    Supplement 3  ·  Sep 18, 2015
    Supplement 4  ·  Sep 18, 2015
    根据热心网友举报,投毒者网名为” coderfun ”。他在各种 iOS 开发者论坛或者 weibo 后留言引诱 iOS 开发者下载有毒版本的 Xcode 。并且中毒的版本不止 Xcode 6.4 ,还有 6.1 , 6.2 和 6.3 等等。
    Supplement 5  ·  Sep 18, 2015
    Supplement 6  ·  Sep 18, 2015
    Supplement 7  ·  Sep 18, 2015
    Supplement 8  ·  Sep 18, 2015
    关于”?“的梗,如果给我一次编辑的机会,我会改成:我在微博上看到别人说网易用黑苹果,我就是质疑一下,有必要骂人吗?
    Supplement 9  ·  Sep 18, 2015
    Supplement 10  ·  Sep 18, 2015
    1  2  3  
    zonghua
        201
    zonghua  
       Sep 18, 2015
    @kingname 从这里就能体现出苹果是多么伟大的公司,能不能 app 留后门去感染苹果的服务器呢?作为报复。
    fogisland
        202
    fogisland  
       Sep 18, 2015
    @WangYue7477 我也遇到过,但是弹出的地方是在桌面啊。不越狱的情况下, app 里即使注入了恶意代码,也不能实现这样的效果吧? alert 窗口应该是只能在 app 内部弹出的啊。
    holong2000
        203
    holong2000  
       Sep 18, 2015
    @kingname 苹果最多能力有不济之处,有什么好谴责的。
    beimenjun
        204
    beimenjun  
       Sep 18, 2015
    @kingname 苹果审核不出这个请求是不是第三方加上的,因为这个表现行为其实看不出什么猫腻的。

    苹果的黑点是修改了的包居然能够安装。
    lisonfan
        205
    lisonfan  
    OP
       Sep 18, 2015
    @beimenjun 系统默认设置是无法安装的,开发者手动修改的
    beimenjun
        206
    beimenjun  
       Sep 18, 2015
    @5up3r 微信的版本最新版是 6.2.6 ,没问题啊。
    freed
        207
    freed  
       Sep 18, 2015
    哎 垃圾腾讯 开发 IOS 居然也用黑苹果(这是学习楼主的语句,无恶意)

    微信当前版本是 6.2.6,官方也承认上一个版本.也就是 6.2.5 版本中也有这个后门..
    其实腾讯应该也没发现.要是发现了应该早就公开了.只是刚好运气好最新版本不是同一个..........
    lisonfan
        208
    lisonfan  
    OP
       Sep 18, 2015
    @freed ..
    我的意思不是感染和黑苹果有关系,只是单纯的质疑一下网易这么大一个公司给 iOS 开发既然 Mac 都不配?
    datou552211
        209
    datou552211  
       Sep 18, 2015 via iPhone   ❤️ 1
    不是一个 app 感染,对事不对人,不能只盯着网易一顿喷。好歹免费享受了网易云音乐的服务…
    fetich
        210
    fetich  
       Sep 18, 2015
    @lisonfan
    感覺用 Mac 開發的人員沒從官方渠道下載,從而中招的可能性更大。
    Smilecc
        211
    Smilecc  
       Sep 18, 2015
    @lisonfan 且不说为啥一副要诛网易全家的样子 第三方的 dmg 和黑苹果有什么关系 我不是很明白
    fetich
        212
    fetich  
       Sep 18, 2015
    現在直接對編譯工具下手了,手段真是越來越高了。
    freed
        213
    freed  
       Sep 18, 2015
    @lisonfan 不可能没 MAC 的.腾讯 网易这些大厂 就算没配 开发者自己也早自备了
    影响范围这么大 不可能国内那么多开发者都用的黑苹果吧
    主要原因应该还是苹果那边下载速度的问题.很多人没法忍受 就找第三方下载了
    konakona
        214
    konakona  
       Sep 18, 2015
    - - 卸载网易云音乐 ING...不知道 QQ 音乐有没有事儿...
    rainmakeroly
        215
    rainmakeroly  
       Sep 18, 2015 via Android   ❤️ 1
    即使所言的都是事实,也有不尊重实际做事的人劳动成果的意味,至于是否严重到损害三石公司的名誉的层面未可知,同行何苦为难同行,可以不用或者不推荐使用。
    lisonfan
        216
    lisonfan  
    OP
       Sep 18, 2015
    @fetich 就是没有从官方渠道下载 Xcode 导致的这个问题
    lisonfan
        217
    lisonfan  
    OP
       Sep 18, 2015
    @Smilecc 我仅仅是质疑一下网易这么大的公司为什么不给 iOS 开发配 Mac (微博上看到的消息),并没有说本次事件和黑苹果有关...
    lisonfan
        218
    lisonfan  
    OP
       Sep 18, 2015
    @freed 我仅仅是质疑一下网易这么大的公司为什么不给 iOS 开发配 Mac (微博上看到的消息),并没有说本次事件和黑苹果有关
    moonou
        219
    moonou  
       Sep 18, 2015 via Android
    气氛被渲染得太奇怪,重点是 Xcode 竟然能这么容易被植入代码。
    lisonfan
        220
    lisonfan  
    OP
       Sep 18, 2015
    @rainmakeroly 我觉得有影响,至少在我这已经对网易心存芥蒂。
    推向公众之前都不做自查,不严谨不负责。
    lisonfan
        221
    lisonfan  
    OP
       Sep 18, 2015
    @moonou OS X 的默认安全设置按理来说是无法安装被修改的 Xcode 的(至少我用默认的安全设置,下载安装破解的 CMM 是安装不了的,提示我文件损坏)
    beimenjun
        222
    beimenjun  
       Sep 18, 2015
    微信 6.2.5 谁有装嘛试着抓一下包? 6.2.3 以及 6.2.6 都没有抓出相关请求,我觉得中间版本出现这种感染的情况可能性不大。
    lisonfan
        223
    lisonfan  
    OP
       Sep 18, 2015
    @beimenjun 207 楼在微博上咨询了腾讯用户服务,官方承认 6.2.5 受到感染
    Caringor
        224
    Caringor  
       Sep 18, 2015 via Android
    @yhxx 我們公司也是這個配置,幫你們網易遊戲部搞外包的 ←_←
    lenran
        225
    lenran  
       Sep 18, 2015
    这怎能怪 apple ,要怪就怪那些没有一点安全意识的开发者们
    JohnChu
        226
    JohnChu  
       Sep 18, 2015
    请不要全文转载文章
    lwd2136
        227
    lwd2136  
       Sep 18, 2015
    @freed 被挟持了? 微博删了?
    SharkIng
        228
    SharkIng  
       Sep 18, 2015
    为什么这样有危险的 App 还能给正常审核发布到 App Store 呢?
    dartabe
        229
    dartabe  
       Sep 18, 2015
    @SharkIng 就像法律一样 很多漏洞都要人去撞
    beimenjun
        230
    beimenjun  
       Sep 18, 2015
    @lisonfan 这个截图不可信,没有完整的对话。
    shizzmk
        231
    shizzmk  
       Sep 18, 2015
    好利害 一大波鏈條中招
    不明覺歷 !!!!
    agassi_yzh
        232
    agassi_yzh  
       Sep 18, 2015
    http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg
    这个网址下载的需要 Apple Developer 权限的。迅雷下载明显不靠谱啊
    realpg
        233
    realpg  
    PRO
       Sep 18, 2015
    早就发现这问题了……
    在滴滴打车新版发现的……
    因为一个打车软件还跟我要 icloud 密码……
    果断发现有问题……
    shanigan
        234
    shanigan  
       Sep 18, 2015
    这个事情跟苹果没一毛钱关系。 app 上传非隐私相关的使用数据是完全允许的,且不违反任何规则。审查是不会去审查这些东西的。

    这事情跟黑苹果也没一毛钱关系,不论黑还是白,开发者都可以强行使用被修改过的 xcode 安装包。

    最后,根本没有必要去算 hash 。任何在 mac 上运行的软件都是要有开发者签名的,否则 gatekeeper 会警告。被修改过的 xcode 开发包肯定是没有合法签名的。开发者安装的时候完全无视了 gatekeeper 的警告么?
    wj2061
        235
    wj2061  
       Sep 18, 2015
    @beimenjun 感觉不可信, 微信团队 2 个月发一条 微博, 会 闲的 没事, 留言给自己招黑?
    yksoft1
        236
    yksoft1  
       Sep 18, 2015   ❤️ 1
    @shanigan Gatekeeper 只对支持 File Quarantine API 的应用程序下载的文件有效。
    reeonce
        237
    reeonce  
       Sep 18, 2015
    最主要的原因还是 Xcode 本身就 3 点几 G ,在大陆下载很慢。所以很多人会在从百度云等地方下载。

    没有去检测 hash 确实是开发者的疏忽。
    fan5013
        238
    fan5013  
       Sep 18, 2015
    我想问问网易云邮件有问题没?各位大大
    aa45942
        239
    aa45942  
       Sep 18, 2015
    影响力这么广的事件,受影响的 app 中还囊括了几大国企,估计 zf 也坐不住了吧。投毒者如果真在国内,估计要现形了
    maemolee
        240
    maemolee  
       Sep 18, 2015
    @lisonfan 在另一篇帖子里面有疑似云音乐成员表示他们用的 Mac 进行开发的。 http://www.v2ex.com/t/221717#reply65
    loading
        241
    loading  
       Sep 18, 2015 via Android
    是不是 mirrors.163.com 要加上 这些了 233
    janxin
        242
    janxin  
       Sep 18, 2015
    @maemolee mac 是自己配的...我听说公司不提供机器....
    ambilight
        243
    ambilight  
       Sep 18, 2015
    吓得我赶紧看了看我的黑苹果。。大哥根本一点关系都没好吗,要怪首先怪苹果那间歇抽风的 mas 吧
    johnny1996
        244
    johnny1996  
       Sep 18, 2015 via Android
    你们不觉得这东西要是出现在 Android 才更可怕
    xustrive
        245
    xustrive  
       Sep 18, 2015
    好吧,那我估计安卓下面也有了。 前一段时间我使用网易音乐听歌,在耗电管理中发现网易耗电量比屏幕翻倍切机器很烫。 恢复后用自带的播放器就没有问题了。
    xustrive
        246
    xustrive  
       Sep 18, 2015
    @johnny1996 我估计已经有了。。。 只是没人去查吧?
    sixgod
        247
    sixgod  
       Sep 18, 2015
    @johnny1996 想想 国内安卓那些下载市场,还用确认吗。。。。。
    railgun
        248
    railgun  
       Sep 18, 2015
    没必要骂它垃圾吧,用黑苹果和不从官方下 xcode 没关系啊
    ryanyu104
        249
    ryanyu104  
       Sep 18, 2015
    微信都中招了
    RqPS6rhmP3Nyn3Tm
        250
    RqPS6rhmP3Nyn3Tm  
       Sep 18, 2015 via iPad
    我觉得黑点应该是签名吧,这种重要的软件竟然不会检查签名,苹果也有一定责任。
    如果是 Windows, UAC 和 SmartScreen 都可以很好的防护。卡巴斯基说苹果的安全落后微软十年的确没错。
    个人就遇到过 pkg 签名有效,然而无法安装上的问题。对比了 hash 才发现下载的文件应该有损坏。这种情况还不高警,我觉得绝对是苹果的锅。
    sunyang
        251
    sunyang  
       Sep 18, 2015
    @agassi_yzh 直接 App Store 更新。两个小时就更新好了,包活文档。
    boro
        252
    boro  
       Sep 18, 2015
    为什么渣讯的微信也在列~这是全挂的节奏~~~~
    lepig
        253
    lepig  
       Sep 18, 2015
    用免费的 还说别人垃圾 觉得不应该骂人
    popok
        254
    popok  
       Sep 18, 2015
    LZ ,微信也中招,以后是不是打算抵制腾讯全部软件啊?
    233
        255
    233  
       Sep 18, 2015
    从网盘拖 xcode 就是黑苹果吗?
    2015813
        256
    2015813  
       Sep 18, 2015
    楼主不厚道黑苹果,只能怪发布 Xcode 的人,网易最多是工作不严谨的问题。
    laukwanchan
        257
    laukwanchan  
       Sep 19, 2015
    请问招商银行的有没中招?
    broadliyn
        258
    broadliyn  
       Sep 19, 2015
    冲着楼主这种口气,还是 block 了。
    chisj
        259
    chisj  
       Sep 19, 2015
    iOS 和 Mac 的 app 安装包文件格式很容易注入,所以注入没法防,但是 XCode 包被修改后重新压缩签名后居然还能安装进 OS X 值得吐槽。
    zomco
        260
    zomco  
       Sep 19, 2015 via iPhone
    其实想知道,在 mac 上装的 windows 装的虚拟机是 mac os 算不算黑苹果。。
    cyberdak
        261
    cyberdak  
       Sep 19, 2015
    希望以后楼主全线抵制 12306 和腾讯系列的应用
    做一个有节操的人呀
    PhanKiap
        262
    PhanKiap  
       Sep 19, 2015
    alian
        263
    alian  
       Sep 19, 2015
    这逻辑,听风就是雨
    1  2  3  
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1019 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 238ms · UTC 19:10 · PVG 03:10 · LAX 12:10 · JFK 15:10
    ♥ Do have faith in what you're doing.