V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
lisonfan
V2EX  ›  程序员

垃圾网易,开发 iOS 还用黑苹果? Xcode 还在百度上去下载?

  •  
  •   lisonfan · 2015-09-18 12:43:29 +08:00 · 34423 次点击
    这是一个创建于 3380 天前的主题,其中的信息可能已经有所发展或是发生改变。

    关于最近非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码问题分析 : http://drops.wooyun.org/news/8864

    网易云音乐也被注入了!
    文明语言的网易,用了这么久,哎。
    以后都不敢用网易的东西了,太不严谨了。
    三石还是去卖你的猪吧

    第 1 条附言  ·  2015-09-18 13:26:24 +08:00
    防止文章被删,我截图做个保存吧


















    第 2 条附言  ·  2015-09-18 13:58:37 +08:00
    事情大条了,
    第 3 条附言  ·  2015-09-18 14:13:36 +08:00
    第 4 条附言  ·  2015-09-18 14:33:15 +08:00
    根据热心网友举报,投毒者网名为” coderfun ”。他在各种 iOS 开发者论坛或者 weibo 后留言引诱 iOS 开发者下载有毒版本的 Xcode 。并且中毒的版本不止 Xcode 6.4 ,还有 6.1 , 6.2 和 6.3 等等。
    第 5 条附言  ·  2015-09-18 14:55:27 +08:00
    第 6 条附言  ·  2015-09-18 15:26:31 +08:00
    第 7 条附言  ·  2015-09-18 15:35:09 +08:00
    第 8 条附言  ·  2015-09-18 15:39:25 +08:00
    关于”?“的梗,如果给我一次编辑的机会,我会改成:我在微博上看到别人说网易用黑苹果,我就是质疑一下,有必要骂人吗?
    第 9 条附言  ·  2015-09-18 15:43:46 +08:00
    第 10 条附言  ·  2015-09-18 17:54:51 +08:00
    1  2  3  
    zonghua
        201
    zonghua  
       2015-09-18 18:49:43 +08:00
    @kingname 从这里就能体现出苹果是多么伟大的公司,能不能 app 留后门去感染苹果的服务器呢?作为报复。
    fogisland
        202
    fogisland  
       2015-09-18 18:56:26 +08:00
    @WangYue7477 我也遇到过,但是弹出的地方是在桌面啊。不越狱的情况下, app 里即使注入了恶意代码,也不能实现这样的效果吧? alert 窗口应该是只能在 app 内部弹出的啊。
    holong2000
        203
    holong2000  
       2015-09-18 19:00:11 +08:00
    @kingname 苹果最多能力有不济之处,有什么好谴责的。
    beimenjun
        204
    beimenjun  
       2015-09-18 19:09:01 +08:00
    @kingname 苹果审核不出这个请求是不是第三方加上的,因为这个表现行为其实看不出什么猫腻的。

    苹果的黑点是修改了的包居然能够安装。
    lisonfan
        205
    lisonfan  
    OP
       2015-09-18 19:11:00 +08:00
    @beimenjun 系统默认设置是无法安装的,开发者手动修改的
    beimenjun
        206
    beimenjun  
       2015-09-18 19:13:59 +08:00
    @5up3r 微信的版本最新版是 6.2.6 ,没问题啊。
    freed
        207
    freed  
       2015-09-18 19:15:23 +08:00
    哎 垃圾腾讯 开发 IOS 居然也用黑苹果(这是学习楼主的语句,无恶意)

    微信当前版本是 6.2.6,官方也承认上一个版本.也就是 6.2.5 版本中也有这个后门..
    其实腾讯应该也没发现.要是发现了应该早就公开了.只是刚好运气好最新版本不是同一个..........
    lisonfan
        208
    lisonfan  
    OP
       2015-09-18 19:18:29 +08:00
    @freed ..
    我的意思不是感染和黑苹果有关系,只是单纯的质疑一下网易这么大一个公司给 iOS 开发既然 Mac 都不配?
    datou552211
        209
    datou552211  
       2015-09-18 19:24:30 +08:00 via iPhone   ❤️ 1
    不是一个 app 感染,对事不对人,不能只盯着网易一顿喷。好歹免费享受了网易云音乐的服务…
    fetich
        210
    fetich  
       2015-09-18 19:24:42 +08:00
    @lisonfan
    感覺用 Mac 開發的人員沒從官方渠道下載,從而中招的可能性更大。
    Smilecc
        211
    Smilecc  
       2015-09-18 19:24:43 +08:00
    @lisonfan 且不说为啥一副要诛网易全家的样子 第三方的 dmg 和黑苹果有什么关系 我不是很明白
    fetich
        212
    fetich  
       2015-09-18 19:25:20 +08:00
    現在直接對編譯工具下手了,手段真是越來越高了。
    freed
        213
    freed  
       2015-09-18 19:26:22 +08:00
    @lisonfan 不可能没 MAC 的.腾讯 网易这些大厂 就算没配 开发者自己也早自备了
    影响范围这么大 不可能国内那么多开发者都用的黑苹果吧
    主要原因应该还是苹果那边下载速度的问题.很多人没法忍受 就找第三方下载了
    konakona
        214
    konakona  
       2015-09-18 19:32:23 +08:00
    - - 卸载网易云音乐 ING...不知道 QQ 音乐有没有事儿...
    rainmakeroly
        215
    rainmakeroly  
       2015-09-18 19:36:01 +08:00 via Android   ❤️ 1
    即使所言的都是事实,也有不尊重实际做事的人劳动成果的意味,至于是否严重到损害三石公司的名誉的层面未可知,同行何苦为难同行,可以不用或者不推荐使用。
    lisonfan
        216
    lisonfan  
    OP
       2015-09-18 19:37:11 +08:00
    @fetich 就是没有从官方渠道下载 Xcode 导致的这个问题
    lisonfan
        217
    lisonfan  
    OP
       2015-09-18 19:38:39 +08:00
    @Smilecc 我仅仅是质疑一下网易这么大的公司为什么不给 iOS 开发配 Mac (微博上看到的消息),并没有说本次事件和黑苹果有关...
    lisonfan
        218
    lisonfan  
    OP
       2015-09-18 19:39:42 +08:00
    @freed 我仅仅是质疑一下网易这么大的公司为什么不给 iOS 开发配 Mac (微博上看到的消息),并没有说本次事件和黑苹果有关
    moonou
        219
    moonou  
       2015-09-18 19:40:29 +08:00 via Android
    气氛被渲染得太奇怪,重点是 Xcode 竟然能这么容易被植入代码。
    lisonfan
        220
    lisonfan  
    OP
       2015-09-18 19:41:16 +08:00
    @rainmakeroly 我觉得有影响,至少在我这已经对网易心存芥蒂。
    推向公众之前都不做自查,不严谨不负责。
    lisonfan
        221
    lisonfan  
    OP
       2015-09-18 19:43:59 +08:00
    @moonou OS X 的默认安全设置按理来说是无法安装被修改的 Xcode 的(至少我用默认的安全设置,下载安装破解的 CMM 是安装不了的,提示我文件损坏)
    beimenjun
        222
    beimenjun  
       2015-09-18 19:45:54 +08:00
    微信 6.2.5 谁有装嘛试着抓一下包? 6.2.3 以及 6.2.6 都没有抓出相关请求,我觉得中间版本出现这种感染的情况可能性不大。
    lisonfan
        223
    lisonfan  
    OP
       2015-09-18 19:51:05 +08:00
    @beimenjun 207 楼在微博上咨询了腾讯用户服务,官方承认 6.2.5 受到感染
    Caringor
        224
    Caringor  
       2015-09-18 19:52:13 +08:00 via Android
    @yhxx 我們公司也是這個配置,幫你們網易遊戲部搞外包的 ←_←
    lenran
        225
    lenran  
       2015-09-18 19:53:12 +08:00
    这怎能怪 apple ,要怪就怪那些没有一点安全意识的开发者们
    JohnChu
        226
    JohnChu  
       2015-09-18 20:02:20 +08:00
    请不要全文转载文章
    lwd2136
        227
    lwd2136  
       2015-09-18 20:06:13 +08:00
    @freed 被挟持了? 微博删了?
    SharkIng
        228
    SharkIng  
       2015-09-18 20:27:52 +08:00
    为什么这样有危险的 App 还能给正常审核发布到 App Store 呢?
    dartabe
        229
    dartabe  
       2015-09-18 20:38:14 +08:00
    @SharkIng 就像法律一样 很多漏洞都要人去撞
    beimenjun
        230
    beimenjun  
       2015-09-18 20:38:21 +08:00
    @lisonfan 这个截图不可信,没有完整的对话。
    shizzmk
        231
    shizzmk  
       2015-09-18 20:46:13 +08:00
    好利害 一大波鏈條中招
    不明覺歷 !!!!
    agassi_yzh
        232
    agassi_yzh  
       2015-09-18 20:57:19 +08:00
    http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg
    这个网址下载的需要 Apple Developer 权限的。迅雷下载明显不靠谱啊
    realpg
        233
    realpg  
       2015-09-18 20:57:22 +08:00
    早就发现这问题了……
    在滴滴打车新版发现的……
    因为一个打车软件还跟我要 icloud 密码……
    果断发现有问题……
    shanigan
        234
    shanigan  
       2015-09-18 20:57:43 +08:00
    这个事情跟苹果没一毛钱关系。 app 上传非隐私相关的使用数据是完全允许的,且不违反任何规则。审查是不会去审查这些东西的。

    这事情跟黑苹果也没一毛钱关系,不论黑还是白,开发者都可以强行使用被修改过的 xcode 安装包。

    最后,根本没有必要去算 hash 。任何在 mac 上运行的软件都是要有开发者签名的,否则 gatekeeper 会警告。被修改过的 xcode 开发包肯定是没有合法签名的。开发者安装的时候完全无视了 gatekeeper 的警告么?
    wj2061
        235
    wj2061  
       2015-09-18 21:02:40 +08:00
    @beimenjun 感觉不可信, 微信团队 2 个月发一条 微博, 会 闲的 没事, 留言给自己招黑?
    yksoft1
        236
    yksoft1  
       2015-09-18 21:18:41 +08:00   ❤️ 1
    @shanigan Gatekeeper 只对支持 File Quarantine API 的应用程序下载的文件有效。
    reeonce
        237
    reeonce  
       2015-09-18 21:29:35 +08:00
    最主要的原因还是 Xcode 本身就 3 点几 G ,在大陆下载很慢。所以很多人会在从百度云等地方下载。

    没有去检测 hash 确实是开发者的疏忽。
    fan5013
        238
    fan5013  
       2015-09-18 21:38:49 +08:00
    我想问问网易云邮件有问题没?各位大大
    aa45942
        239
    aa45942  
       2015-09-18 21:46:55 +08:00
    影响力这么广的事件,受影响的 app 中还囊括了几大国企,估计 zf 也坐不住了吧。投毒者如果真在国内,估计要现形了
    maemolee
        240
    maemolee  
       2015-09-18 21:56:19 +08:00
    @lisonfan 在另一篇帖子里面有疑似云音乐成员表示他们用的 Mac 进行开发的。 http://www.v2ex.com/t/221717#reply65
    loading
        241
    loading  
       2015-09-18 21:57:55 +08:00 via Android
    是不是 mirrors.163.com 要加上 这些了 233
    janxin
        242
    janxin  
       2015-09-18 22:00:54 +08:00
    @maemolee mac 是自己配的...我听说公司不提供机器....
    ambilight
        243
    ambilight  
       2015-09-18 22:19:07 +08:00
    吓得我赶紧看了看我的黑苹果。。大哥根本一点关系都没好吗,要怪首先怪苹果那间歇抽风的 mas 吧
    johnny1996
        244
    johnny1996  
       2015-09-18 22:26:02 +08:00 via Android
    你们不觉得这东西要是出现在 Android 才更可怕
    xustrive
        245
    xustrive  
       2015-09-18 22:27:47 +08:00
    好吧,那我估计安卓下面也有了。 前一段时间我使用网易音乐听歌,在耗电管理中发现网易耗电量比屏幕翻倍切机器很烫。 恢复后用自带的播放器就没有问题了。
    xustrive
        246
    xustrive  
       2015-09-18 22:28:25 +08:00
    @johnny1996 我估计已经有了。。。 只是没人去查吧?
    sixgod
        247
    sixgod  
       2015-09-18 22:38:19 +08:00
    @johnny1996 想想 国内安卓那些下载市场,还用确认吗。。。。。
    railgun
        248
    railgun  
       2015-09-18 22:38:28 +08:00
    没必要骂它垃圾吧,用黑苹果和不从官方下 xcode 没关系啊
    ryanyu104
        249
    ryanyu104  
       2015-09-18 23:09:18 +08:00
    微信都中招了
    RqPS6rhmP3Nyn3Tm
        250
    RqPS6rhmP3Nyn3Tm  
       2015-09-18 23:11:42 +08:00 via iPad
    我觉得黑点应该是签名吧,这种重要的软件竟然不会检查签名,苹果也有一定责任。
    如果是 Windows, UAC 和 SmartScreen 都可以很好的防护。卡巴斯基说苹果的安全落后微软十年的确没错。
    个人就遇到过 pkg 签名有效,然而无法安装上的问题。对比了 hash 才发现下载的文件应该有损坏。这种情况还不高警,我觉得绝对是苹果的锅。
    sunyang
        251
    sunyang  
       2015-09-18 23:14:50 +08:00
    @agassi_yzh 直接 App Store 更新。两个小时就更新好了,包活文档。
    boro
        252
    boro  
       2015-09-18 23:20:25 +08:00
    为什么渣讯的微信也在列~这是全挂的节奏~~~~
    lepig
        253
    lepig  
       2015-09-18 23:34:49 +08:00
    用免费的 还说别人垃圾 觉得不应该骂人
    popok
        254
    popok  
       2015-09-18 23:37:12 +08:00
    LZ ,微信也中招,以后是不是打算抵制腾讯全部软件啊?
    233
        255
    233  
       2015-09-18 23:45:05 +08:00
    从网盘拖 xcode 就是黑苹果吗?
    2015813
        256
    2015813  
       2015-09-18 23:45:07 +08:00
    楼主不厚道黑苹果,只能怪发布 Xcode 的人,网易最多是工作不严谨的问题。
    laukwanchan
        257
    laukwanchan  
       2015-09-19 00:00:45 +08:00
    请问招商银行的有没中招?
    broadliyn
        258
    broadliyn  
       2015-09-19 00:10:45 +08:00
    冲着楼主这种口气,还是 block 了。
    chisj
        259
    chisj  
       2015-09-19 01:28:29 +08:00
    iOS 和 Mac 的 app 安装包文件格式很容易注入,所以注入没法防,但是 XCode 包被修改后重新压缩签名后居然还能安装进 OS X 值得吐槽。
    zomco
        260
    zomco  
       2015-09-19 08:02:23 +08:00 via iPhone
    其实想知道,在 mac 上装的 windows 装的虚拟机是 mac os 算不算黑苹果。。
    cyberdak
        261
    cyberdak  
       2015-09-19 09:14:13 +08:00
    希望以后楼主全线抵制 12306 和腾讯系列的应用
    做一个有节操的人呀
    Dashit
        262
    Dashit  
       2015-09-19 09:44:23 +08:00
    alian
        263
    alian  
       2015-09-19 09:57:09 +08:00
    这逻辑,听风就是雨
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5374 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 07:53 · PVG 15:53 · LAX 23:53 · JFK 02:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.