iOS 开发实用技术导航
NSHipster 中文版
› http://nshipster.cn/
cocos2d 开源 2D 游戏引擎
› http://www.cocos2d-iphone.org/
CocoaPods
› http://cocoapods.org/
Google Analytics for Mobile 统计解决方案
› http://code.google.com/mobile/analytics/
WWDC
› https://developer.apple.com/wwdc/
Design Guides and Resources
› https://developer.apple.com/design/
Transcripts of WWDC sessions
› http://asciiwwdc.com
Cocoa with Love
› http://cocoawithlove.com/
Cocoa Dev Central
› http://cocoadevcentral.com/
NSHipster
› http://nshipster.com/
Style Guides
› Google Objective-C Style Guide
› NYTimes Objective-C Style Guide
Useful Tools and Services
› Charles Web Debugging Proxy
› Smore
这是一个创建于 3345 天前的主题,其中的信息可能已经有所发展或是发生改变。
72 条回复 • 2015-09-20 16:28:28 +08:00
 |
1
gqz149275 2015-09-19 08:27:28 +08:00
为嘛他要说周末愉快,然而我并不愉快。:D
|
 |
2
nellace 2015-09-19 08:36:57 +08:00
但是媒体似乎抓住了各种爆点,搞了个大新闻,把 app 产品到开发者再到苹果几乎黑了一遍
|
 |
3
Hyperion 2015-09-19 08:39:04 +08:00 via Android
按照隔壁麦芽地的处理,虽然这个没有传播性,但起码警察叔叔上门是没跑了。
以及,给出源码也没用,还得以 dump 出来为准。 |
 |
4
NickLiulol 2015-09-19 08:39:23 +08:00 via iPhone
@nellace 我国媒体都还是年轻人,想搞个大新闻
|
 |
5
wdlth 2015-09-19 08:40:50 +08:00
媒体不搞新闻,明天就没下文……
|
 |
6
itfanr 2015-09-19 08:45:26 +08:00
神奇的 v2ex
|
 |
7
TaoTHU 2015-09-19 08:46:50 +08:00
然而我觉得这个声明并不可信。
结合被扒出来的该网址 DNS 与 XY 助手的关系, 还有已经被大家分析出来的功能, 以及众多用户回忆起的莫名弹出 icloud 密码输入框的事实 匿名发个声明说这是某个人开发爱好者的试验? 反正我不信 |
 |
8
187j3x1 2015-09-19 08:49:44 +08:00
现在才怂 迟啦 这么多厂商被打脸
|
 |
9
ddqp 2015-09-19 08:54:14 +08:00 via iPhone
Xy 出来顶罪的
|
 |
10
chengxiao 2015-09-19 09:04:56 +08:00
这个漏洞存在了多久 ? 如果真的有涉嫌盗窃 icloud 的嫌疑的话 那之前洗白被盗 iPhone 跟这个是否有关系?还有这次腾讯 网易 豆瓣 百度均有中招,不彻查看来不太可能了
|
 |
11
Laforet 2015-09-19 09:10:40 +08:00
@chengxiao
https://archive.is/X5GGX 从当事人开始发布挂马的 xcode 时间算至少六个月 http://www.cert.org.cn/publish/main/12/2015/20150914152821158428128/20150914152821158428128_.html 体制内机构通报是 9 月 14 日,厂商应该比这个更早获得消息。 但是大部分人得知这个消息是昨天而且一开始都在喷网易也是奇怪。 |
 |
12
1023400273 2015-09-19 09:12:30 +08:00
话说出现这个情况,是不是 GFW 也有一部分责任?
|
 |
13
nikubenki 2015-09-19 09:22:13 +08:00
那伪造密码弹窗怎么解释
|
|
14
chengxiao 2015-09-19 09:29:39 +08:00
突然有个邪恶的想法,会不会是某公司的公关....
貌似整个风向开始转了~ |
|
15
nikubenki 2015-09-19 09:34:31 +08:00
|
 |
16
wzqcongcong 2015-09-19 09:50:25 +08:00
代码写得好像挺草率的样纸~一会用 NO ,一会用 false 的。
|
 |
17
tinyproxy 2015-09-19 09:54:59 +08:00 via iPhone
@1023400273 苹果的责任, gfw 在不见 vs 出这种问题
|
|
18
1023400273 2015-09-19 09:57:17 +08:00
@tinyproxy 我觉得大家要用这件事情指责 GFW ,加速我墙的倒塌
|
|
19
wzqcongcong 2015-09-19 09:58:32 +08:00
请问作者是如何修改 Xcode 默认的 project 配置文件的
|
 |
20
est 2015-09-19 10:04:24 +08:00
|
 |
21
yxjxx 2015-09-19 10:13:29 +08:00
脑动一下:会不会有大厂的开发者是故意使用 XCodeGhost 打包应用的啊?
|
|
22
yxjxx 2015-09-19 10:14:27 +08:00
脑动->脑洞
|
 |
24
Heracles 2015-09-19 10:19:38 +08:00
@1023400273 不是墙的责任,而是☭的责任。就像 Adobe CC ,并没有被墙,但因为政策限制,无法进入大陆,导致大陆用户要买 Creative Cloud 非常费劲。
|
 |
26
learnshare 2015-09-19 10:31:13 +08:00
只是发个声明而已,甚至连烟雾弹都算不上。
|
 |
27
huobazi 2015-09-19 10:51:24 +08:00
还有人在 issues 劝自首........
|
 |
28
nicevoice 2015-09-19 10:51:49 +08:00
哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈。
大内 gfw 啊,想下就知道了。 其实也没有什么卵用。 你能查出什么来, 5 块钱的还是紫色的呢~ |
 |
29
disonlee 2015-09-19 10:54:06 +08:00
只是个声明,该犯法还犯法,该捡肥皂还得捡。
如果不知什么是底线,就算你是技术大牛,别人看起来也顶多是个超级大混蛋。 |
 |
30
breeswish 2015-09-19 10:57:51 +08:00
@est 苹果怎么没责任了.. CDN 不做好, Gate Keeper 形如虚设(有设计问题),应用上架审核也是不能发现这种恶意行为
|
 |
31
missdeer 2015-09-19 10:58:34 +08:00  1
用我同事的话说,如果真是个实验,也用不着那么富有伪装性的域名了。
|
|
32
est 2015-09-19 11:00:50 +08:00
@breeswish CDN 和 GateKeeper 暂不说,您倒是说说假如您是苹果,如何发现并审核这种“恶意”行为?据我所知所有第三方广告 SDK 都有统计基本信息的行为。
|
 |
33
wanglie 2015-09-19 11:26:25 +08:00
现在中国有什么软件是安全的。。。
|
|
36
breeswish 2015-09-19 11:30:06 +08:00
@est 确实是如您所说。这也正是问题所在,应用审核这套安全机制从根本上是不适合于这种情况的。
这好比安全软件从特征码查杀到主动防御,特征码查杀确实有一定安全效果,却不是一个很好的方法。在特征码下,个人写的恶意软件是无法识别的,这是根本上的问题。相比之下主动防御就比它高明。 希望看到苹果有更高明的手段。 |
 |
37
NovemberEleven 2015-09-19 11:40:57 +08:00
人才了,突然觉得自己好渺小。
|
 |
38
lzxgh621 2015-09-19 11:44:18 +08:00
苹果既然有那个应用审核系统,就要负一些责。
不能说出事了,就用各种理由排除,那还要那个干嘛。 也别再宣传什么更安全了。 |
 |
39
likuku 2015-09-19 11:47:45 +08:00
修改 xcode 安装包,然后四处传播,这算不算刑法的「破坏计算机信息系统罪」里的「故意制作、传播计算机病毒等破坏性程序」的行为嘛?
|
 |
40
yuelang85 2015-09-19 11:50:51 +08:00
|
 |
42
ibremn 2015-09-19 12:10:38 +08:00
|
 |
43
codecrash 2015-09-19 12:13:12 +08:00
@1023400273 墙不是那么容易倒的
|
 |
44
shiny 2015-09-19 12:15:25 +08:00
看到传闻说此人是 XY 助手公司的员工
|
 |
45
XDA 2015-09-19 12:21:08 +08:00 via iPhone
别地方看到的翻译:“反正上是已经上了,不过没怀上,各位老公请放心并保持心情愉快!”
以后装 Xcode 还是从官网下 dmg 然后校验 MD5 和 SHA 放心,请 Apple 提供所有下载的 MD5 |
 |
46
glasslion 2015-09-19 13:38:53 +08:00
呵呵, init.icloud-analysis.com 这个域名明显钓鱼的嘛
|
 |
48
sobigfish 2015-09-19 13:53:02 +08:00
呃,这么多错别字
适合=》事后 像=》向 |
 |
49
lawder 2015-09-19 14:16:53 +08:00
我觉得发送统计数据都是伪装,根据服务器返回的数据执行不同的代码才是它的真正目的。
|
 |
50
LINAICAI 2015-09-19 14:18:12 +08:00
为什么他这么轻描淡写,但我却觉得性质非常恶劣。
|
 |
51
perseawe 2015-09-19 15:34:33 +08:00
太扯淡了,明显是带有恶意的有意识的攻击行为。
|
 |
52
StargazerWikiv 2015-09-19 16:25:50 +08:00 via iPhone
牛逼的人自然有牛逼的处理办法,编译器有漏洞好牛啊
|
 |
54
fallwithme 2015-09-19 17:57:14 +08:00
@est 也许苹果可以要求开发者列出所有应用用到的域名,并必须在服务器上放一个使用开发者私钥签名的文件,然后屏蔽掉对其他域名的访问。当然,如果开发者的私钥被恶意 Xcode 窃取了那谁也没辙。
|
|
55
fallwithme 2015-09-19 18:01:12 +08:00
@XDA Gatekeeper 就是自动替你去校验可执行文件的机制,只不过很多人为了图方便把这个机制手工关闭了,更不能指望他们会去主动校验 checksum 了。
|
 |
56
Silicon 2015-09-19 18:07:25 +08:00
想承受住微信活跃用户几个月的访问,不是个人开发者花几千块就能搞定的吧?
更何况还有网易云音乐和各种银行客户端,还有在百度云上的布局。 说是个人行为,鬼才信。 |
|
57
est 2015-09-19 18:32:19 +08:00
@fallwithme 理论可行,实际操作很难。比如 p2p 类。
|
 |
58
iheshix 2015-09-19 18:59:17 +08:00
个人并不太相信。微博上喵神粗略的算了下:
======== 算个账,微信用户总数 5 亿日活 70%。每天每人就算 5 个 POST 请求,每个请求 300Byte ,日流入流量就接近 500G ,以及 17.5 亿次请求。据说服务器扔在亚马逊,那么资费算一下每个月应该是存储$450 ,请求$260K 。这还只是单单一个微信,再算上网易云音乐等等,每月四五十万刀仅仅是苦逼 iOS 开发者的个人实验? http://weibo.com/2210132365/CBfDJiFTq ======== 所以,这个苦逼的 iOS 开发者挺有钱啊! |
 |
59
Imivan 2015-09-19 19:03:37 +08:00
周围的人没有一个知道这个事。
|
 |
60
a154312237 2015-09-19 19:18:57 +08:00 via iPhone
让 xcode 在 build 的时候 加入一个有关 xcode 本身及其编译配置文件的校验值的签名
容易实现不? |
|
62
wzqcongcong 2015-09-19 20:03:53 +08:00
请问作者是如何修改 Xcode 默认的 project 配置文件,然后链接上那个库的~~
|
 |
63
kaneg 2015-09-19 20:38:54 +08:00
这个病毒作者的技术牛是一方面,更牛的是能让带毒的 Xcode 渗透到这么多 IT 大厂
|
 |
64
IvanLing 2015-09-19 21:44:41 +08:00
有理由相信 这个 ghost 跟二手手机的赃机有关系,因为赃机没有 apple id 等于零配件。。。
|
 |
65
yy77 2015-09-19 21:56:18 +08:00 via iPhone
明显就有主观恶意,只不过现在想要推脱责任而已。
|
 |
66
beimenjun 2015-09-19 22:01:37 +08:00
@Silicon 我可以确定的是 6.2.3 没有这个问题,我比较倾向于只有 9 月 10 日发布的 6.2.5 有这个问题,服务器差不多也是那时候关闭了,说不定和微信大规模的用户量有关系。
问题关键是 6.2.4 有没有这个问题。 |
 |
67
test1000 2015-09-19 23:12:39 +08:00
我来爆点料吧,这根本不是一个人,作者故意忽略了弹窗和跳转这 2 个最严重的问题,明显是有公关团队帮写的稿子, xy 助手每年的利润都是上亿的,背后的公司是上海恺英网络,老板王悦,是从庞升东的 51.com 出来的,这绝对不是我乱说,人家前两天刚借壳上市,名字叫泰亚股份,我所说的这些都是公开信息,你们可以去看证监会的公告他们每年的利润是多少,还有各个股东的名字都可以查出来。
结合喵神说的你们应该明白是怎么回事了,太多的我就不好说了。 |
 |
69
fszaer 2015-09-20 09:33:45 +08:00
他的发言稿我总结了一下
我在你家电脑植入木马只是玩玩而已,真的没有想要干些什么事,你要信我啊 |
 |
70
qian19876025 2015-09-20 10:57:02 +08:00
@nellace 自己安全意识不高 怪谁 自己的错还是要认账
|
Select Language