V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kid813
V2EX  ›  Apple

今天的 XcodeGhost 会引起苹果和手机用户的重视吗?

  •  
  •   kid813 · 2015-09-18 17:51:24 +08:00 · 3986 次点击
    这是一个创建于 3339 天前的主题,其中的信息可能已经有所发展或是发生改变。

    早上在本站看到关于 XcodeGhost 的帖子,一开始还以为只有 4 个 app 受影响,觉得这些开发者从非官方渠道下载 Xcode 也是自作自受。但是 2 小时后我查看 http://www.iapps.im/single/33996 的新闻,据称已经有三位数的 app 收到波及,而且国外开发者的 app 也有受影响的。

    开发者自己下载非官方渠道的开发工具导致 app 被植入木马,这对于用户来说防不胜防。但苹果推出 Mac App Store 都这么多年了仍然不支持断点下载了; 2013 年就看到新闻说苹果在大陆部署了服务器,但时至 2015 年似乎连接 app store 的速度仍然不见好转。现在 iPhone 、 iOS 已经越来越多“妥协”和“借鉴”了,不知道苹果是不是也会好好考虑一下提高中国大陆的连接速度。


    我把新闻转发给微信上的朋友,似乎都觉得这次事件无所谓。我之前也提醒朋友不要用 xx 助手、不要随意用公共 wifi ,不要随意填写信用卡信息。但听到最多的回应是“你又没什么值得泄漏,担心这些做什么”。我觉得如果自己都不在乎自己的隐私,那等到真到因为信息泄露遭到损失的时候也只能说“活该”。

    我之前觉得这些安全事件会给企业和用户敲响警钟,但最近发现似乎大部分用户其实是不关心这些事情,或者不做防范。比如 Agoda , Booking.com 的泄露信用卡信息事件在 Google 上一搜一大把,从 2012 年至今都有;携程的信用卡泄露事件中除了当事人更换信用卡,似乎也很快就平息了。

    没有人因此受到惩罚,虽说企业可能会声誉受损,但我猜很多人(包括我自己)仍然会选择这些网站,因为换别的很可能一样要泄漏。安全做足了,没有嘉奖;安全有漏洞,也不过是一时的谈资,在微博、微信中转发几天就不见了,最终付出代价的只有一小部分受损的用户。

    25 条回复    2015-09-19 23:05:09 +08:00
    holong2000
        1
    holong2000  
       2015-09-18 18:02:42 +08:00
    普通用户如果这样,那也无所谓了,不过连苹果开发者都这么大意,安全意识如此之差,实在是匪夷所思。这些开发者难道没用过 windows ,不知道这些安全常识吗?从第三方下载后,较验一下有多难?举手之劳而已!如果你是在 windows 下开发,会这么大意吗?
    Mirage09
        2
    Mirage09  
       2015-09-18 18:06:07 +08:00 via iPad
    @holong2000 为什么扯到 windows 了。。
    holong2000
        3
    holong2000  
       2015-09-18 18:11:56 +08:00
    @Mirage09 对比一下苹果开发者和 windows 开发者的安全意识。这件事本质上就是个安全意识薄弱造成的事故。
    FinalDream
        4
    FinalDream  
       2015-09-18 18:45:53 +08:00
    不会

    @holong2000 Windows 下大把人用来路不明的 putty,navicat
    liprais
        5
    liprais  
       2015-09-18 18:47:39 +08:00 via Android
    谁告诉你不支持断点续传的
    huijiewei
        6
    huijiewei  
       2015-09-18 20:05:03 +08:00 via iPhone
    这些公司的 iOS 程序员都是 IT 界耻辱

    没有一个跟踪到非法网络请求的?跟踪到了就放任不管?反正功能做好了就行?
    camillo
        7
    camillo  
       2015-09-18 20:37:20 +08:00 via iPhone
    额为什么我直连 MAS 下载更新几乎都能慢速?
    ryd994
        8
    ryd994  
       2015-09-18 21:41:01 +08:00 via Android
    Linux 包管理, GPG 校验妥妥的………
    sdd11
        9
    sdd11  
       2015-09-18 21:45:14 +08:00 via iPad
    对普通用户来说,知道了这些大新闻也并没有什么卵用。用户能做的很有限啊。
    echo1937
        10
    echo1937  
       2015-09-18 21:49:03 +08:00
    @holong2000 Windows 和 Mac 都有软件的数字签名,依然有大把的用户下载来路不明的软件。

    @ryd994 设置 gpgcheck=0 的用户不要太多啊。

    ibremn
        11
    ibremn  
       2015-09-18 21:49:44 +08:00
    套用微博上看到的一句话:“@刘镇夫:阅兵期间前后国外线路十分不稳定,高达 5G 大小的 Xcode 无法顺利下载。”
    g67261831
        12
    g67261831  
       2015-09-18 21:50:51 +08:00
    我这边 50M 光纤, app store 下载从来是飞速的,难道这些大公司还在用小水管?
    nbndco
        13
    nbndco  
       2015-09-18 21:53:02 +08:00 via iPhone
    我实在是不知道 mas 慢的人是用的什么网,我家里,学校,公司全部是满速,至今不知上限是多少
    holong2000
        14
    holong2000  
       2015-09-18 21:59:17 +08:00
    @echo1937 os x 的 gatekeeper 对这个感染了的 xcode 不管用,已经有同学分析过了。
    ryd994
        15
    ryd994  
       2015-09-18 22:22:11 +08:00 via Android
    @echo1937 自己作,怪不得别人啰。默认都是开的
    lawdoge
        16
    lawdoge  
       2015-09-18 22:25:02 +08:00
    正在断点续传的人路过
    yksoft1
        17
    yksoft1  
       2015-09-19 00:13:35 +08:00
    @holong2000 是这样的, gatekeeper 无法检查本身就已经剥离签名,并且用不支持 gatekeeper ,或者非 Mac OS X 下的下载工具下载的文件中包含的应用程序。
    liuyi_beta
        18
    liuyi_beta  
       2015-09-19 00:38:21 +08:00 via iPad
    测了一下,我的手机上六个程序受感染,后门程序的特征十分明显,打开 app 后很快开始主动上传,估计敏感信息已经被上传上百次了。感染的程序都十分常见,估计差不多国内 100%的 iPhone 用户都受影响了(上一个版本的微信也是受感染的)。最怕的情况是后门可能会窃取 Apple ID ,即使你不越狱,不主动泄漏,某一天自己的设备也可能被远程锁定。
    最后,建议所有人开启两步验证。
    irainsoft
        19
    irainsoft  
       2015-09-19 00:49:13 +08:00
    从周围人反应看就跟没发生一样-_-|| 他们根本不知道
    minsheng
        20
    minsheng  
       2015-09-19 08:07:53 +08:00
    谁告诉你不支持断点续传的,我人在美国下载起来毫无问题。

    这个问题根本就在木瓜党,大犬们一日不受监督,中国就一日没有互联网安全可言。
    minsheng
        21
    minsheng  
       2015-09-19 08:09:32 +08:00
    @nbndco
    @g67261831
    部分时候确实有很严重的干扰。鬼知道墙是怎么设计的,或者说 CDN 是如何失效的。
    jamesxu
        22
    jamesxu  
       2015-09-19 13:10:15 +08:00 via iPhone
    @minsheng 貌似很多时候暂停了再继续就从头开始了,特别是下几个 G 的大文件的时候超级蛋疼


    @liuyi_beta 手机上的 app 怎么进行测试的
    liuyi_beta
        23
    liuyi_beta  
       2015-09-19 14:22:41 +08:00
    @jamesxu 电脑作为手机的代理服务器,打开 APP 然后在电脑上抓包即可
    asdsjw
        24
    asdsjw  
       2015-09-19 18:45:10 +08:00
    至少我是这样认为的 联通 10M 下载 app store 速度很快的,当然偶尔也抽风
    电信的下载也很快啊, 100m 的 没几分钟事情,就是不知道哪里下载慢了😄
    minsheng
        25
    minsheng  
       2015-09-19 23:05:09 +08:00 via iPhone
    @jamesxu 美国这边经常断,但是续传是没有问题的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2692 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 01:47 · PVG 09:47 · LAX 17:47 · JFK 20:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.