这是一个创建于 3135 天前的主题,其中的信息可能已经有所发展或是发生改变。
关于最近非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码问题分析 : http://drops.wooyun.org/news/8864
网易云音乐也被注入了!
文明语言的网易,用了这么久,哎。
以后都不敢用网易的东西了,太不严谨了。
三石还是去卖你的猪吧
第 1 条附言 · 2015-09-18 13:26:24 +08:00
防止文章被删,我截图做个保存吧
第 2 条附言 · 2015-09-18 13:58:37 +08:00
事情大条了,
第 3 条附言 · 2015-09-18 14:13:36 +08:00
第 4 条附言 · 2015-09-18 14:33:15 +08:00
根据热心网友举报,投毒者网名为” coderfun ”。他在各种 iOS 开发者论坛或者 weibo 后留言引诱 iOS 开发者下载有毒版本的 Xcode 。并且中毒的版本不止 Xcode 6.4 ,还有 6.1 , 6.2 和 6.3 等等。
第 5 条附言 · 2015-09-18 14:55:27 +08:00
第 6 条附言 · 2015-09-18 15:26:31 +08:00
第 7 条附言 · 2015-09-18 15:35:09 +08:00
第 8 条附言 · 2015-09-18 15:39:25 +08:00
关于”?“的梗,如果给我一次编辑的机会,我会改成:我在微博上看到别人说网易用黑苹果,我就是质疑一下,有必要骂人吗?
第 9 条附言 · 2015-09-18 15:43:46 +08:00
第 10 条附言 · 2015-09-18 17:54:51 +08:00
感谢 @5up3r 提供的 XcodeGhost 感染的 App 列表
https://github.com/zengyun-programmer/XcodeGhostApps/blob/master/XcodeGhost%20Apps.md
https://github.com/zengyun-programmer/XcodeGhostApps/blob/master/XcodeGhost%20Apps.md
 |
202
fogisland 2015-09-18 18:56:26 +08:00
@WangYue7477 我也遇到过,但是弹出的地方是在桌面啊。不越狱的情况下, app 里即使注入了恶意代码,也不能实现这样的效果吧? alert 窗口应该是只能在 app 内部弹出的啊。
|
 |
203
holong2000 2015-09-18 19:00:11 +08:00
@kingname 苹果最多能力有不济之处,有什么好谴责的。
|
 |
204
beimenjun 2015-09-18 19:09:01 +08:00
|
 |
207
freed 2015-09-18 19:15:23 +08:00
哎 垃圾腾讯 开发 IOS 居然也用黑苹果(这是学习楼主的语句,无恶意)
微信当前版本是 6.2.6,官方也承认上一个版本.也就是 6.2.5 版本中也有这个后门.. 其实腾讯应该也没发现.要是发现了应该早就公开了.只是刚好运气好最新版本不是同一个..........  |
 |
208
lisonfan OP @freed ..
我的意思不是感染和黑苹果有关系,只是单纯的质疑一下网易这么大一个公司给 iOS 开发既然 Mac 都不配? |
 |
209
datou552211 2015-09-18 19:24:30 +08:00 via iPhone  1
不是一个 app 感染,对事不对人,不能只盯着网易一顿喷。好歹免费享受了网易云音乐的服务…
|
 |
212
fetich 2015-09-18 19:25:20 +08:00
現在直接對編譯工具下手了,手段真是越來越高了。
|
|
213
freed 2015-09-18 19:26:22 +08:00
@lisonfan 不可能没 MAC 的.腾讯 网易这些大厂 就算没配 开发者自己也早自备了
影响范围这么大 不可能国内那么多开发者都用的黑苹果吧 主要原因应该还是苹果那边下载速度的问题.很多人没法忍受 就找第三方下载了 |
 |
214
konakona 2015-09-18 19:32:23 +08:00
- - 卸载网易云音乐 ING...不知道 QQ 音乐有没有事儿...
|
 |
215
rainmakeroly 2015-09-18 19:36:01 +08:00 via Android 1
即使所言的都是事实,也有不尊重实际做事的人劳动成果的意味,至于是否严重到损害三石公司的名誉的层面未可知,同行何苦为难同行,可以不用或者不推荐使用。
|
|
217
lisonfan OP @Smilecc 我仅仅是质疑一下网易这么大的公司为什么不给 iOS 开发配 Mac (微博上看到的消息),并没有说本次事件和黑苹果有关...
|
|
218
lisonfan OP @freed 我仅仅是质疑一下网易这么大的公司为什么不给 iOS 开发配 Mac (微博上看到的消息),并没有说本次事件和黑苹果有关
|
 |
219
moonou 2015-09-18 19:40:29 +08:00 via Android
气氛被渲染得太奇怪,重点是 Xcode 竟然能这么容易被植入代码。
|
|
220
lisonfan OP @rainmakeroly 我觉得有影响,至少在我这已经对网易心存芥蒂。
推向公众之前都不做自查,不严谨不负责。 |
|
221
lisonfan OP @moonou OS X 的默认安全设置按理来说是无法安装被修改的 Xcode 的(至少我用默认的安全设置,下载安装破解的 CMM 是安装不了的,提示我文件损坏)
|
|
222
beimenjun 2015-09-18 19:45:54 +08:00
微信 6.2.5 谁有装嘛试着抓一下包? 6.2.3 以及 6.2.6 都没有抓出相关请求,我觉得中间版本出现这种感染的情况可能性不大。
|
 |
225
lenran 2015-09-18 19:53:12 +08:00
这怎能怪 apple ,要怪就怪那些没有一点安全意识的开发者们
|
 |
226
JohnChu 2015-09-18 20:02:20 +08:00
请不要全文转载文章
|
 |
228
SharkIng 2015-09-18 20:27:52 +08:00
为什么这样有危险的 App 还能给正常审核发布到 App Store 呢?
|
 |
231
shizzmk 2015-09-18 20:46:13 +08:00
好利害 一大波鏈條中招
不明覺歷 !!!! |
 |
232
agassi_yzh 2015-09-18 20:57:19 +08:00
http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg
这个网址下载的需要 Apple Developer 权限的。迅雷下载明显不靠谱啊 |
 |
233
realpg 2015-09-18 20:57:22 +08:00
早就发现这问题了……
在滴滴打车新版发现的…… 因为一个打车软件还跟我要 icloud 密码…… 果断发现有问题…… |
 |
234
shanigan 2015-09-18 20:57:43 +08:00
这个事情跟苹果没一毛钱关系。 app 上传非隐私相关的使用数据是完全允许的,且不违反任何规则。审查是不会去审查这些东西的。
这事情跟黑苹果也没一毛钱关系,不论黑还是白,开发者都可以强行使用被修改过的 xcode 安装包。 最后,根本没有必要去算 hash 。任何在 mac 上运行的软件都是要有开发者签名的,否则 gatekeeper 会警告。被修改过的 xcode 开发包肯定是没有合法签名的。开发者安装的时候完全无视了 gatekeeper 的警告么? |
 |
236
yksoft1 2015-09-18 21:18:41 +08:00 1
@shanigan Gatekeeper 只对支持 File Quarantine API 的应用程序下载的文件有效。
|
 |
237
reeonce 2015-09-18 21:29:35 +08:00
最主要的原因还是 Xcode 本身就 3 点几 G ,在大陆下载很慢。所以很多人会在从百度云等地方下载。
没有去检测 hash 确实是开发者的疏忽。 |
 |
238
fan5013 2015-09-18 21:38:49 +08:00
我想问问网易云邮件有问题没?各位大大
|
 |
239
aa45942 2015-09-18 21:46:55 +08:00
影响力这么广的事件,受影响的 app 中还囊括了几大国企,估计 zf 也坐不住了吧。投毒者如果真在国内,估计要现形了
|
 |
240
maemolee 2015-09-18 21:56:19 +08:00
@lisonfan 在另一篇帖子里面有疑似云音乐成员表示他们用的 Mac 进行开发的。 http://www.v2ex.com/t/221717#reply65
|
 |
241
loading 2015-09-18 21:57:55 +08:00 via Android
是不是 mirrors.163.com 要加上 这些了 233
|
 |
243
ambilight 2015-09-18 22:19:07 +08:00
吓得我赶紧看了看我的黑苹果。。大哥根本一点关系都没好吗,要怪首先怪苹果那间歇抽风的 mas 吧
|
 |
244
johnny1996 2015-09-18 22:26:02 +08:00 via Android
你们不觉得这东西要是出现在 Android 才更可怕
|
 |
245
xustrive 2015-09-18 22:27:47 +08:00
好吧,那我估计安卓下面也有了。 前一段时间我使用网易音乐听歌,在耗电管理中发现网易耗电量比屏幕翻倍切机器很烫。 恢复后用自带的播放器就没有问题了。
|
|
246
xustrive 2015-09-18 22:28:25 +08:00
@johnny1996 我估计已经有了。。。 只是没人去查吧?
|
 |
247
sixgod 2015-09-18 22:38:19 +08:00
@johnny1996 想想 国内安卓那些下载市场,还用确认吗。。。。。
|
 |
248
railgun 2015-09-18 22:38:28 +08:00
没必要骂它垃圾吧,用黑苹果和不从官方下 xcode 没关系啊
|
 |
249
ryanyu104 2015-09-18 23:09:18 +08:00
微信都中招了
|
 |
250
RqPS6rhmP3Nyn3Tm 2015-09-18 23:11:42 +08:00 via iPad
我觉得黑点应该是签名吧,这种重要的软件竟然不会检查签名,苹果也有一定责任。
如果是 Windows, UAC 和 SmartScreen 都可以很好的防护。卡巴斯基说苹果的安全落后微软十年的确没错。 个人就遇到过 pkg 签名有效,然而无法安装上的问题。对比了 hash 才发现下载的文件应该有损坏。这种情况还不高警,我觉得绝对是苹果的锅。 |
 |
251
sunyang 2015-09-18 23:14:50 +08:00
@agassi_yzh 直接 App Store 更新。两个小时就更新好了,包活文档。
|
 |
252
boro 2015-09-18 23:20:25 +08:00
为什么渣讯的微信也在列~这是全挂的节奏~~~~
|
 |
253
lepig 2015-09-18 23:34:49 +08:00
用免费的 还说别人垃圾 觉得不应该骂人
|
 |
254
popok 2015-09-18 23:37:12 +08:00
LZ ,微信也中招,以后是不是打算抵制腾讯全部软件啊?
|
 |
255
233 2015-09-18 23:45:05 +08:00
从网盘拖 xcode 就是黑苹果吗?
|
 |
256
2015813 2015-09-18 23:45:07 +08:00
楼主不厚道黑苹果,只能怪发布 Xcode 的人,网易最多是工作不严谨的问题。
|
 |
257
laukwanchan 2015-09-19 00:00:45 +08:00
请问招商银行的有没中招?
|
 |
258
broadliyn 2015-09-19 00:10:45 +08:00
冲着楼主这种口气,还是 block 了。
|
 |
259
chisj 2015-09-19 01:28:29 +08:00
iOS 和 Mac 的 app 安装包文件格式很容易注入,所以注入没法防,但是 XCode 包被修改后重新压缩签名后居然还能安装进 OS X 值得吐槽。
|
 |
260
zomco 2015-09-19 08:02:23 +08:00 via iPhone
其实想知道,在 mac 上装的 windows 装的虚拟机是 mac os 算不算黑苹果。。
|
 |
261
cyberdak 2015-09-19 09:14:13 +08:00
希望以后楼主全线抵制 12306 和腾讯系列的应用
做一个有节操的人呀 |
 |
262
Dashit 2015-09-19 09:44:23 +08:00
|
 |
263
alian 2015-09-19 09:57:09 +08:00
这逻辑,听风就是雨
|
Select Language