V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lisonfan
V2EX  ›  程序员

垃圾网易,开发 iOS 还用黑苹果? Xcode 还在百度上去下载?

  •  
  •   lisonfan · 2015-09-18 12:43:29 +08:00 · 34357 次点击
    这是一个创建于 3355 天前的主题,其中的信息可能已经有所发展或是发生改变。

    关于最近非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码问题分析 : http://drops.wooyun.org/news/8864

    网易云音乐也被注入了!
    文明语言的网易,用了这么久,哎。
    以后都不敢用网易的东西了,太不严谨了。
    三石还是去卖你的猪吧

    第 1 条附言  ·  2015-09-18 13:26:24 +08:00
    防止文章被删,我截图做个保存吧


















    第 2 条附言  ·  2015-09-18 13:58:37 +08:00
    事情大条了,
    第 3 条附言  ·  2015-09-18 14:13:36 +08:00
    第 4 条附言  ·  2015-09-18 14:33:15 +08:00
    根据热心网友举报,投毒者网名为” coderfun ”。他在各种 iOS 开发者论坛或者 weibo 后留言引诱 iOS 开发者下载有毒版本的 Xcode 。并且中毒的版本不止 Xcode 6.4 ,还有 6.1 , 6.2 和 6.3 等等。
    第 5 条附言  ·  2015-09-18 14:55:27 +08:00
    第 6 条附言  ·  2015-09-18 15:26:31 +08:00
    第 7 条附言  ·  2015-09-18 15:35:09 +08:00
    第 8 条附言  ·  2015-09-18 15:39:25 +08:00
    关于”?“的梗,如果给我一次编辑的机会,我会改成:我在微博上看到别人说网易用黑苹果,我就是质疑一下,有必要骂人吗?
    第 9 条附言  ·  2015-09-18 15:43:46 +08:00
    第 10 条附言  ·  2015-09-18 17:54:51 +08:00
    1  2  3  
    vincentqi
        101
    vincentqi  
       2015-09-18 15:19:51 +08:00
    @tsui 现在我知道的网易部门都是用的 MBP ,以前不知道。

    我这样说你们都当没看见,因为你们觉得人家用黑苹果才有话题性
    Kilig
        102
    Kilig  
       2015-09-18 15:20:02 +08:00
    不光网易呢,还有 中信银行动卡空间, 12306 ,滴滴出行,也被感染了
    beimenjun
        103
    beimenjun  
       2015-09-18 15:20:04 +08:00
    n6DD1A640
        104
    n6DD1A640  
       2015-09-18 15:22:17 +08:00   ❤️ 1
    这事与黑苹果无关。墙一半锅,厂商一半锅。
    cyberdak
        105
    cyberdak  
       2015-09-18 15:24:22 +08:00
    @beimenjun 看完我更好奇,为什么还能招到人,而且这些人也不离职。
    自费买电脑干得开开心心
    lisonfan
        106
    lisonfan  
    OP
       2015-09-18 15:24:29 +08:00
    @qun1me1de 这个锅我来接。。。。
    我解释一下吧:
    1 、关于标题和内容:这个事情在微博上出来楼主本人看到之后,帖子内的链接当时只指出了网易云音乐(一楼附言也做了截图保留),所以楼主有点气愤,一家这么大的公司还出这事,而且我还是网易云音乐的用户,楼主所有的设备都在用网易云音乐( Android iOS Mac Windows )所以就起了这么一个标题。

    2 、关于在回复 Jermic 说了这么一句话(我说了一定是黑苹果?你瞎没看见我打的”?“号?):是我回复的不严谨,我的错。
    mulog
        107
    mulog  
       2015-09-18 15:24:50 +08:00
    @wind3110991
    大公司开发机不能上外网这是常识
    这是哪个世界的常识?以为都是华为吗。。
    viator42
        108
    viator42  
       2015-09-18 15:25:09 +08:00
    安卓 IDE 被黑了的话杀伤力会更大.
    ykswang
        109
    ykswang  
       2015-09-18 15:25:37 +08:00
    用第三方的 Xcode 就是用黑苹果?这是什么逻辑推导啊
    cyberdak
        110
    cyberdak  
       2015-09-18 15:25:43 +08:00
    不过回到论题来
    用白苹果也会去其他网站下载软件啊
    app store 那个和吃了翔一样的速度
    它能正常用,谁会去其他地方下?
    cyberdak
        111
    cyberdak  
       2015-09-18 15:27:20 +08:00
    楼主还是解释啊
    楼主是智障?
    楼主爸妈是近亲结婚生下来的智障?

    我和楼主一样使用了“?”标点符号。
    yaxin
        112
    yaxin  
       2015-09-18 15:29:00 +08:00
    @beimenjun 网易用黑苹果都出名了,哈哈
    lisonfan
        113
    lisonfan  
    OP
       2015-09-18 15:29:59 +08:00
    @cyberdak 0.0
    别闹...
    GKLuke
        114
    GKLuke  
       2015-09-18 15:31:29 +08:00
    奶奶的, Mac store 更新个 Xcode ,一个下午了,才下了 1.12G ,网速死慢
    lisonfan
        115
    lisonfan  
    OP
       2015-09-18 15:32:04 +08:00
    @GKLuke DNS 问题?我这能跑满宽带 0.0
    NovemberEleven
        116
    NovemberEleven  
       2015-09-18 15:32:30 +08:00
    幸好我们在 app store 上下载的
    yaxin
        117
    yaxin  
       2015-09-18 15:34:25 +08:00
    @mulog 不要黑华为,华为有些部门是可以上外网的,比如我们部门
    andyhunter
        118
    andyhunter  
       2015-09-18 15:36:33 +08:00
    @viator42 说不定早就被黑过了
    lisonfan
        119
    lisonfan  
    OP
       2015-09-18 15:37:26 +08:00
    @qun1me1de 如果再给我一次机会我会说:我在微博上看到别人说网易用黑苹果,我就是质疑一下,你有必要骂人吗?
    DingSoung
        120
    DingSoung  
       2015-09-18 15:37:48 +08:00
    一直都用 App Store 下载 Xcode 正式版或者 member center 下载测试版。

    话说,如果不是因为网速,谁想从其他地方下。只是恰好这个被利用了。

    iOS 安全越来越重要了
    beimenjun
        121
    beimenjun  
       2015-09-18 15:38:23 +08:00
    @cyberdak 确实有人是自己带白苹果上班的
    yhxx
        122
    yhxx  
       2015-09-18 15:39:13 +08:00
    @vincentqi
    现在我知道的网易部门用的 MBP 全都是自己买的
    mortal
        123
    mortal  
       2015-09-18 15:39:30 +08:00
    这几个讨论这件事的帖子里我找到了不少素质用户,感谢增加 B list~
    x86
        124
    x86  
       2015-09-18 15:43:37 +08:00
    在公司下的 xcode 快 2 个钟头
    vincentqi
        125
    vincentqi  
       2015-09-18 15:43:43 +08:00
    @yhxx 哪些部门?是 iOS 开发麽?
    yhxx
        126
    yhxx  
       2015-09-18 15:44:12 +08:00
    @wind3110991
    我是网易的
    网易游戏的开发标配显示器是 24 寸的戴尔 2412M
    其他配置也还可以,整机 6000 块的水平。不知道 iMac 是什么部门。

    网易互联网开发标配电脑整机 3000 块水平。
    yhxx
        127
    yhxx  
       2015-09-18 15:44:45 +08:00
    @vincentqi 杭州的所有部门。
    DingSoung
        128
    DingSoung  
       2015-09-18 15:45:33 +08:00
    @wind3110991 你这什么逻辑, 985 牛了? 大公司牛了? 犯错了还这么屌
    DingSoung
        129
    DingSoung  
       2015-09-18 15:53:03 +08:00
    扯毛线文化,大公司,真要舍得钱,要是为了开发好,就给全局自由网络访问,给不卡的开发机,给全套不同版本型号测试机。

    那么多人用了百度那里流出来的 Xcode ,出了这么大的事,程序员说 ##“怪我咯?”

    现在好多猿自备 VPN ,拿自己手机当开发机,猿想啊。那些出问题了的 app 的公司好好想想吧。
    qifei
        130
    qifei  
       2015-09-18 15:53:40 +08:00
    据说真是黑苹果
    int64ago
        131
    int64ago  
       2015-09-18 15:53:55 +08:00 via Android
    我去网易面试,一个大厅里,几乎面试官都是人手一个 MAC
    satgi
        132
    satgi  
       2015-09-18 15:57:07 +08:00
    还好我觉得从网盘下载太山寨太 low 没有中招
    另外公司的网不错,昨天更新了 Xcode 7 半小时搞定
    CareiOS
        133
    CareiOS  
       2015-09-18 15:57:10 +08:00
    这么多人中招呀,谁叫你们不在 Appstore 中下载?
    geeksu
        134
    geeksu  
       2015-09-18 16:00:11 +08:00
    @CareiOS 看清楚啊
    Felldeadbird
        135
    Felldeadbird  
       2015-09-18 16:00:30 +08:00
    我现在只想知道,我的 iCloud 帐号是否安全!!我手机安装了 网易音乐
    popok
        136
    popok  
       2015-09-18 16:00:37 +08:00
    @inFinityzc 说的在理, LZ 不去谴责恶意代码作者,直接上来谴责网易,让人看着很无语。是人总有出错的时候,再说这次问题涉及很多家公司的 APP ,要喷也等网易后期处理问题后看看情况再说
    Parallel
        137
    Parallel  
       2015-09-18 16:01:10 +08:00
    噗,弹框,之前经常莫名其妙弹出一个标准框来让输密码,毫无征兆。
    geeksu
        138
    geeksu  
       2015-09-18 16:01:13 +08:00
    @Felldeadbird 赶紧改下密码为好,我刚改了
    Poko
        139
    Poko  
       2015-09-18 16:04:35 +08:00
    跟黑苹果没关系
    xjbeta
        140
    xjbeta  
       2015-09-18 16:06:07 +08:00 via iPhone
    听着网易云 回去赶紧看看我的黑果 23333
    Tink
        141
    Tink  
       2015-09-18 16:06:50 +08:00 via iPhone
    瞎逼黑
    jimrok
        142
    jimrok  
       2015-09-18 16:09:10 +08:00
    @yh7gdiaYW 这个应该不会,产品发布一般都是自动构建的,不是随便让开发人员做个安装包出来的。
    WispZhan
        143
    WispZhan  
       2015-09-18 16:10:29 +08:00
    黑的真漂亮。

    出事之前没人说,出事后 立马 各路牛鬼蛇神全来了。然后开始各种黑。

    说明:
    1.开始大家都不知道 自己用的 xcode 已经被修改
    2.网络环境太差,没有直接去 app store

    这么黑又意思么?
    bdnet
        144
    bdnet  
       2015-09-18 16:11:56 +08:00
    如果是越狱了的苹果,不一定只会泄露这点信息吧
    hienchu
        145
    hienchu  
       2015-09-18 16:12:05 +08:00
    @yhxx 这。。。。
    vincentqi
        146
    vincentqi  
       2015-09-18 16:13:25 +08:00
    @yhxx 你可以到杭州跨境电商部门来看一下,找几个用苹果的当面对峙一下是公司的还是员工的
    ChoateYao
        147
    ChoateYao  
       2015-09-18 16:15:00 +08:00
    吓得我卸载了国内一大批软件。
    fetich
        148
    fetich  
       2015-09-18 16:16:25 +08:00
    还好我机智地用安卓。
    yann1992
        149
    yann1992  
       2015-09-18 16:16:44 +08:00
    这个锅应该应该甩给GFW嘛,要是速度好的话,干嘛去别的地儿去下
    lisonfan
        150
    lisonfan  
    OP
       2015-09-18 16:17:22 +08:00 via iPhone   ❤️ 1
    @popok 对恶意代码的作者我是骂他全家的
    发帖的时候只公布出来网易云音乐,作为网易的用户我是愤怒的,推向公众之前都没有自查?而且这么大的公司用的开发工具既然随便就在百度上下载了?我喷的是网易的不严谨。
    其实我很想编辑本帖,可是 V2EX 不允许
    Ryekee
        151
    Ryekee  
       2015-09-18 16:17:36 +08:00
    @lisonfan 其实这次中招的不少,只能说整个行业都还比较不靠谱
    ballkids
        152
    ballkids  
       2015-09-18 16:18:02 +08:00
    和黑苹果没有一毛钱关系吧。。。
    Oi0Ydz26h9NkGCIz
        153
    Oi0Ydz26h9NkGCIz  
       2015-09-18 16:18:33 +08:00
    向网易邮箱大师客服询问邮箱大师是否安全,答复说是安全,没受此影响。
    amon
        154
    amon  
       2015-09-18 16:19:47 +08:00   ❤️ 2
    1.为何都不去谴责黑客,致力于谴责黄易?是只能追着黄易咬吗,其它咬不到吗?
    2.好好说话,别扯黑苹果行不行?老玩这个梗不烦的?
    3.苹果呵呵哒? App Store 在中国体验差的 eb ,仅次于 Google Play 了。 Xcode 更新速度要能快点都还会去百毒盘下载吗? iOS 端的 App Store 一样渣渣。
    4.麻烦看到我这段文字不爽的请手动 block 我,另回复我一下“已 block ”,我必附赠 10 个铜币的感谢并随后 block 您,感谢!
    iluhcm
        155
    iluhcm  
       2015-09-18 16:22:13 +08:00
    感觉网易躺枪好无辜.
    licess
        156
    licess  
       2015-09-18 16:22:44 +08:00
    同花顺、联通手机营业厅中招
    lisonfan
        157
    lisonfan  
    OP
       2015-09-18 16:26:00 +08:00 via iPhone
    @amon 并不会 BLOCK
    我昨天才在 AppStore 上更新的 Xcode ,能跑满带宽。
    对于黑客是骂娘的,当时发帖没有在帖子里说出来
    网易一家大公司,产品发布之前既然没有自查就推向公众,是不是不严谨?
    XDA
        158
    XDA  
       2015-09-18 16:26:17 +08:00
    一群人有这闲工夫不如多写几行高质量代码去。

    独善其身。
    ChoateYao
        159
    ChoateYao  
       2015-09-18 16:28:42 +08:00
    @amon 作为一个开发者,最基本的技能就是从正规渠道下载软件并存储起来以便下次需要时使用。
    Ryekee
        160
    Ryekee  
       2015-09-18 16:28:43 +08:00
    @kokdemo 安卓 root 了的话……
    pljhonglu
        161
    pljhonglu  
       2015-09-18 16:29:14 +08:00
    @amon
    黑客固然可恨,但是主要原因还是开发人员安全意识薄弱, 这个问题竟然爆出了这么多大厂 APP 中枪
    ltl007131
        162
    ltl007131  
       2015-09-18 16:29:57 +08:00
    第一句话给人感觉就是无脑喷,果真好热闹
    yhxx
        163
    yhxx  
       2015-09-18 16:31:15 +08:00
    @vincentqi 你在 4 楼?
    刚和跨境电商的同学确认过,自己买的。
    chinawrj
        164
    chinawrj  
       2015-09-18 16:38:10 +08:00   ❤️ 1
    @lisonfan
    关于你对某个人的回复

    发帖的时候只公布出来网易云音乐,作为网易的用户我是愤怒的,推向公众之前都没有自查?而且这么大的公司用的开发工具既然随便就在百度上下载了?我喷的是网易的不严谨。
    其实我很想编辑本帖,可是 V2EX 不允许



    我觉得你是对的,做后门的的确可恶。但是作为网易难道不应该保证开发工具是正规渠道获取的吗?找个非官方渠道,然后出问题了把锅甩给后门制作者?正如:去饭店吃到地沟油,然后饭店回复称:不是我们的错啊,我就在地边摊买的,谁知道他有问题啊。。。。
    CuSO4
        165
    CuSO4  
       2015-09-18 16:39:01 +08:00
    网易有钱呢!!!!
    xiaoyao9933
        166
    xiaoyao9933  
       2015-09-18 16:40:30 +08:00
    我用的黑苹果,我的 xcode 还是从 app store 下载的啊,下载慢点, 4 个小时也可以搞定了。原版 mac dmg + clover, 我为黑苹果正名。
    xiaoyao9933
        167
    xiaoyao9933  
       2015-09-18 16:40:53 +08:00
    @CuSO4 刚刚测试过了,没有发现问题。
    atao
        168
    atao  
       2015-09-18 16:54:26 +08:00
    到底会有什么危害才是最重要的啊!!!!
    CuSO4
        169
    CuSO4  
       2015-09-18 16:55:47 +08:00
    @xiaoyao9933 感谢!
    hdbean
        170
    hdbean  
       2015-09-18 16:57:30 +08:00
    @WispZhan 还是有明事理的人在
    knightdf
        171
    knightdf  
       2015-09-18 17:05:54 +08:00
    还好我的 16G 小机因为可用空间为 0 了就没升级任何软件了,哈哈
    blacklee
        172
    blacklee  
       2015-09-18 17:10:11 +08:00
    病毒感染的是 Mac 上的 Xcode ,而不是直接对代码进行更改。所以应该是只要提交 ipa 的那台机器没事,这事就不会发生。
    我感觉这事可笑的地方在于,你们这些大厂怎么会把 Upload Archive 的权限交给“小白”?
    这活至少得交给组长做吧?还是说你们厂的组长其实也就这样?
    5up3r
        173
    5up3r  
       2015-09-18 17:10:53 +08:00
    WangYue7477
        174
    WangYue7477  
       2015-09-18 17:13:04 +08:00
    @Parallel 确实有那么一阵,老是弹出输入 appleID 密码的系统提示框,现在看来不越狱也有风险了。
    ggshiney
        175
    ggshiney  
       2015-09-18 17:17:13 +08:00
    上俩月和一个网易 iOS 开发的盆友聊天,至少他所在部门给配的黑苹果。

    至于用 mbp 的人,大都是自己买的带到公司用。
    wind3110991
        176
    wind3110991  
       2015-09-18 17:25:28 +08:00
    @dingsoung 事实而已
    NovemberEleven
        177
    NovemberEleven  
       2015-09-18 17:26:33 +08:00
    @jimrok 惨,我们公司就是我来负责打包的。
    isevenfox
        178
    isevenfox  
       2015-09-18 17:27:37 +08:00
    感觉 国内 Android 的 IDE 也会跪么= =。这个被墙的更厉害啊。。。。
    wind3110991
        179
    wind3110991  
       2015-09-18 17:29:17 +08:00
    @beimenjun 嗯嗯知道了,谢谢科普,作为一个程序开发者,我只是想知道事实,追求事实,和某些只会喷人的程序员愤青不同

    @tsui 我也可以学一下这个语气:不好意思,我的没教养后面打了个?号,你没看见真是遗憾
    wind3110991
        180
    wind3110991  
       2015-09-18 17:30:16 +08:00
    @qun1me1de 谢谢回复
    rwecho
        181
    rwecho  
       2015-09-18 17:34:56 +08:00
    网易云音乐仍是我心中最好的软件,没有之一
    dreammes
        182
    dreammes  
       2015-09-18 17:36:30 +08:00
    必然在国内掀起大风波
    JackBlack2006
        183
    JackBlack2006  
       2015-09-18 17:38:13 +08:00
    苹果不是在国内搞了 CDN 么,上次下 10.11 GM 7MB/s 左右半小时不到就下完了

    网易的人难道连百兆宽带都没有?
    SeanQu
        184
    SeanQu  
       2015-09-18 17:40:04 +08:00
    又发现几个中招的加上吧:马拉马拉,药给力,喜马拉雅,口袋记账。建议把已中招的列表放最前面。
    loryyang
        185
    loryyang  
       2015-09-18 17:43:17 +08:00
    以前下载的时候都很鄙视页面上的 md5 码,觉得那没什么用,现在觉得吧,找个官网的 md5 码还是很有必要的,虽然下载可以找快的渠道
    shanelau
        186
    shanelau  
       2015-09-18 17:46:40 +08:00
    蛮有意思的
    sm0king
        187
    sm0king  
       2015-09-18 17:49:02 +08:00
    看了这么多,难道只有我们公司做了全网翻墙、不做任何网络限制么?
    (哦,听网管说,最近,把那些经常用公司网络下载、上班时间经常看视频的稍微限制)
    这么说,感觉自己好幸福。
    qun1me1de
        188
    qun1me1de  
       2015-09-18 17:50:28 +08:00
    @lisonfan
    我也是因为其他的事情导致情绪波动然后刚好看到你的帖子,才对你这样的标题感到奇怪;

    如果你的内容像标题一样的语气的话 我感觉大家不会说你什么的。但是你的标题确实有点过火了
    也没想过对你死缠烂打,锱铢必较;想了想,我也做的太过;对不起。别生气~
    sobigfish
        189
    sobigfish  
       2015-09-18 17:52:20 +08:00
    动卡空间...我擦-。-
    hilenlai
        190
    hilenlai  
       2015-09-18 17:56:25 +08:00
    @tsui 刚问了在网易云音乐的朋友,人家用的 Macbook Pro 啊 - -!
    lisonfan
        191
    lisonfan  
    OP
       2015-09-18 18:00:21 +08:00
    @qun1me1de 没生气的,我没想到帖子会火...以前在 V2 上发的贴都是沉的。
    v2what
        192
    v2what  
       2015-09-18 18:01:19 +08:00
    这次事件又不止涉及网易一家公司,为何标题里只会指责网易呢,真是感觉怪怪的。
    fanux
        193
    fanux  
       2015-09-18 18:07:13 +08:00 via Android
    喜闻乐见
    mymon
        194
    mymon  
       2015-09-18 18:13:54 +08:00 via Android
    楼主你先解释下什么叫黑苹果?
    GPU
        195
    GPU  
       2015-09-18 18:18:10 +08:00
    除了云音乐 .其他中招的 App 都没有用 .网易还不更新么?
    lisonfan
        196
    lisonfan  
    OP
       2015-09-18 18:25:57 +08:00
    @mymon 在非 Mac 上装 OS X
    lisonfan
        197
    lisonfan  
    OP
       2015-09-18 18:26:50 +08:00
    @v2what 发帖的时候只指出了网易云音乐,当时还没有其他的 APP 被爆出来。
    5up3r
        198
    5up3r  
       2015-09-18 18:33:04 +08:00
    微信 6.25 也中招了。。。升级最新版即可
    lackar
        199
    lackar  
       2015-09-18 18:36:50 +08:00
    好可怕
    kingname
        200
    kingname  
       2015-09-18 18:39:11 +08:00
    我就奇怪了,你们一群人怎么没有人谴责苹果公司的审核不作为呢?

    这些有问题的程序不过是网易云音乐也好, 12306 也好,中信银行下厨房也好,都是从苹果的 App Stroe 上面下载的,苹果的 app 审核人员竟然不能审核出程序有后门?那以后我写个 iOS 软件,然后加个后门,看看苹果能不能给我审核通过。
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2989 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 77ms · UTC 14:05 · PVG 22:05 · LAX 06:05 · JFK 09:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.