早上在本站看到关于 XcodeGhost 的帖子,一开始还以为只有 4 个 app 受影响,觉得这些开发者从非官方渠道下载 Xcode 也是自作自受。但是 2 小时后我查看 http://www.iapps.im/single/33996 的新闻,据称已经有三位数的 app 收到波及,而且国外开发者的 app 也有受影响的。
开发者自己下载非官方渠道的开发工具导致 app 被植入木马,这对于用户来说防不胜防。但苹果推出 Mac App Store 都这么多年了仍然不支持断点下载了; 2013 年就看到新闻说苹果在大陆部署了服务器,但时至 2015 年似乎连接 app store 的速度仍然不见好转。现在 iPhone 、 iOS 已经越来越多“妥协”和“借鉴”了,不知道苹果是不是也会好好考虑一下提高中国大陆的连接速度。
我把新闻转发给微信上的朋友,似乎都觉得这次事件无所谓。我之前也提醒朋友不要用 xx 助手、不要随意用公共 wifi ,不要随意填写信用卡信息。但听到最多的回应是“你又没什么值得泄漏,担心这些做什么”。我觉得如果自己都不在乎自己的隐私,那等到真到因为信息泄露遭到损失的时候也只能说“活该”。
我之前觉得这些安全事件会给企业和用户敲响警钟,但最近发现似乎大部分用户其实是不关心这些事情,或者不做防范。比如 Agoda , Booking.com 的泄露信用卡信息事件在 Google 上一搜一大把,从 2012 年至今都有;携程的信用卡泄露事件中除了当事人更换信用卡,似乎也很快就平息了。
没有人因此受到惩罚,虽说企业可能会声誉受损,但我猜很多人(包括我自己)仍然会选择这些网站,因为换别的很可能一样要泄漏。安全做足了,没有嘉奖;安全有漏洞,也不过是一时的谈资,在微博、微信中转发几天就不见了,最终付出代价的只有一小部分受损的用户。
1
holong2000 2015-09-18 18:02:42 +08:00
普通用户如果这样,那也无所谓了,不过连苹果开发者都这么大意,安全意识如此之差,实在是匪夷所思。这些开发者难道没用过 windows ,不知道这些安全常识吗?从第三方下载后,较验一下有多难?举手之劳而已!如果你是在 windows 下开发,会这么大意吗?
|
2
Mirage09 2015-09-18 18:06:07 +08:00 via iPad
@holong2000 为什么扯到 windows 了。。
|
3
holong2000 2015-09-18 18:11:56 +08:00
@Mirage09 对比一下苹果开发者和 windows 开发者的安全意识。这件事本质上就是个安全意识薄弱造成的事故。
|
4
FinalDream 2015-09-18 18:45:53 +08:00
|
5
liprais 2015-09-18 18:47:39 +08:00 via Android
谁告诉你不支持断点续传的
|
6
huijiewei 2015-09-18 20:05:03 +08:00 via iPhone
这些公司的 iOS 程序员都是 IT 界耻辱
没有一个跟踪到非法网络请求的?跟踪到了就放任不管?反正功能做好了就行? |
7
camillo 2015-09-18 20:37:20 +08:00 via iPhone
额为什么我直连 MAS 下载更新几乎都能慢速?
|
8
ryd994 2015-09-18 21:41:01 +08:00 via Android
Linux 包管理, GPG 校验妥妥的………
|
9
sdd11 2015-09-18 21:45:14 +08:00 via iPad
对普通用户来说,知道了这些大新闻也并没有什么卵用。用户能做的很有限啊。
|
10
echo1937 2015-09-18 21:49:03 +08:00
|
11
ibremn 2015-09-18 21:49:44 +08:00
套用微博上看到的一句话:“@刘镇夫:阅兵期间前后国外线路十分不稳定,高达 5G 大小的 Xcode 无法顺利下载。”
|
12
g67261831 2015-09-18 21:50:51 +08:00
我这边 50M 光纤, app store 下载从来是飞速的,难道这些大公司还在用小水管?
|
13
nbndco 2015-09-18 21:53:02 +08:00 via iPhone
我实在是不知道 mas 慢的人是用的什么网,我家里,学校,公司全部是满速,至今不知上限是多少
|
14
holong2000 2015-09-18 21:59:17 +08:00
@echo1937 os x 的 gatekeeper 对这个感染了的 xcode 不管用,已经有同学分析过了。
|
16
lawdoge 2015-09-18 22:25:02 +08:00
正在断点续传的人路过
|
17
yksoft1 2015-09-19 00:13:35 +08:00
@holong2000 是这样的, gatekeeper 无法检查本身就已经剥离签名,并且用不支持 gatekeeper ,或者非 Mac OS X 下的下载工具下载的文件中包含的应用程序。
|
18
liuyi_beta 2015-09-19 00:38:21 +08:00 via iPad
测了一下,我的手机上六个程序受感染,后门程序的特征十分明显,打开 app 后很快开始主动上传,估计敏感信息已经被上传上百次了。感染的程序都十分常见,估计差不多国内 100%的 iPhone 用户都受影响了(上一个版本的微信也是受感染的)。最怕的情况是后门可能会窃取 Apple ID ,即使你不越狱,不主动泄漏,某一天自己的设备也可能被远程锁定。
最后,建议所有人开启两步验证。 |
19
irainsoft 2015-09-19 00:49:13 +08:00
从周围人反应看就跟没发生一样-_-|| 他们根本不知道
|
20
minsheng 2015-09-19 08:07:53 +08:00
谁告诉你不支持断点续传的,我人在美国下载起来毫无问题。
这个问题根本就在木瓜党,大犬们一日不受监督,中国就一日没有互联网安全可言。 |
22
jamesxu 2015-09-19 13:10:15 +08:00 via iPhone
|
23
liuyi_beta 2015-09-19 14:22:41 +08:00
@jamesxu 电脑作为手机的代理服务器,打开 APP 然后在电脑上抓包即可
|
24
asdsjw 2015-09-19 18:45:10 +08:00
至少我是这样认为的 联通 10M 下载 app store 速度很快的,当然偶尔也抽风
电信的下载也很快啊, 100m 的 没几分钟事情,就是不知道哪里下载慢了😄 |