今天的 XcodeGhost 会引起苹果和手机用户的重视吗?

2015-09-18 17:51:24 +08:00
 kid813

早上在本站看到关于 XcodeGhost 的帖子,一开始还以为只有 4 个 app 受影响,觉得这些开发者从非官方渠道下载 Xcode 也是自作自受。但是 2 小时后我查看 http://www.iapps.im/single/33996 的新闻,据称已经有三位数的 app 收到波及,而且国外开发者的 app 也有受影响的。

开发者自己下载非官方渠道的开发工具导致 app 被植入木马,这对于用户来说防不胜防。但苹果推出 Mac App Store 都这么多年了仍然不支持断点下载了; 2013 年就看到新闻说苹果在大陆部署了服务器,但时至 2015 年似乎连接 app store 的速度仍然不见好转。现在 iPhone 、 iOS 已经越来越多“妥协”和“借鉴”了,不知道苹果是不是也会好好考虑一下提高中国大陆的连接速度。


我把新闻转发给微信上的朋友,似乎都觉得这次事件无所谓。我之前也提醒朋友不要用 xx 助手、不要随意用公共 wifi ,不要随意填写信用卡信息。但听到最多的回应是“你又没什么值得泄漏,担心这些做什么”。我觉得如果自己都不在乎自己的隐私,那等到真到因为信息泄露遭到损失的时候也只能说“活该”。

我之前觉得这些安全事件会给企业和用户敲响警钟,但最近发现似乎大部分用户其实是不关心这些事情,或者不做防范。比如 Agoda , Booking.com 的泄露信用卡信息事件在 Google 上一搜一大把,从 2012 年至今都有;携程的信用卡泄露事件中除了当事人更换信用卡,似乎也很快就平息了。

没有人因此受到惩罚,虽说企业可能会声誉受损,但我猜很多人(包括我自己)仍然会选择这些网站,因为换别的很可能一样要泄漏。安全做足了,没有嘉奖;安全有漏洞,也不过是一时的谈资,在微博、微信中转发几天就不见了,最终付出代价的只有一小部分受损的用户。

4016 次点击
所在节点    Apple
25 条回复
holong2000
2015-09-18 18:02:42 +08:00
普通用户如果这样,那也无所谓了,不过连苹果开发者都这么大意,安全意识如此之差,实在是匪夷所思。这些开发者难道没用过 windows ,不知道这些安全常识吗?从第三方下载后,较验一下有多难?举手之劳而已!如果你是在 windows 下开发,会这么大意吗?
Mirage09
2015-09-18 18:06:07 +08:00
@holong2000 为什么扯到 windows 了。。
holong2000
2015-09-18 18:11:56 +08:00
@Mirage09 对比一下苹果开发者和 windows 开发者的安全意识。这件事本质上就是个安全意识薄弱造成的事故。
FinalDream
2015-09-18 18:45:53 +08:00
不会

@holong2000 Windows 下大把人用来路不明的 putty,navicat
liprais
2015-09-18 18:47:39 +08:00
谁告诉你不支持断点续传的
huijiewei
2015-09-18 20:05:03 +08:00
这些公司的 iOS 程序员都是 IT 界耻辱

没有一个跟踪到非法网络请求的?跟踪到了就放任不管?反正功能做好了就行?
camillo
2015-09-18 20:37:20 +08:00
额为什么我直连 MAS 下载更新几乎都能慢速?
ryd994
2015-09-18 21:41:01 +08:00
Linux 包管理, GPG 校验妥妥的………
sdd11
2015-09-18 21:45:14 +08:00
对普通用户来说,知道了这些大新闻也并没有什么卵用。用户能做的很有限啊。
echo1937
2015-09-18 21:49:03 +08:00
@holong2000 Windows 和 Mac 都有软件的数字签名,依然有大把的用户下载来路不明的软件。

@ryd994 设置 gpgcheck=0 的用户不要太多啊。

ibremn
2015-09-18 21:49:44 +08:00
套用微博上看到的一句话:“@刘镇夫:阅兵期间前后国外线路十分不稳定,高达 5G 大小的 Xcode 无法顺利下载。”
g67261831
2015-09-18 21:50:51 +08:00
我这边 50M 光纤, app store 下载从来是飞速的,难道这些大公司还在用小水管?
nbndco
2015-09-18 21:53:02 +08:00
我实在是不知道 mas 慢的人是用的什么网,我家里,学校,公司全部是满速,至今不知上限是多少
holong2000
2015-09-18 21:59:17 +08:00
@echo1937 os x 的 gatekeeper 对这个感染了的 xcode 不管用,已经有同学分析过了。
ryd994
2015-09-18 22:22:11 +08:00
@echo1937 自己作,怪不得别人啰。默认都是开的
lawdoge
2015-09-18 22:25:02 +08:00
正在断点续传的人路过
yksoft1
2015-09-19 00:13:35 +08:00
@holong2000 是这样的, gatekeeper 无法检查本身就已经剥离签名,并且用不支持 gatekeeper ,或者非 Mac OS X 下的下载工具下载的文件中包含的应用程序。
liuyi_beta
2015-09-19 00:38:21 +08:00
测了一下,我的手机上六个程序受感染,后门程序的特征十分明显,打开 app 后很快开始主动上传,估计敏感信息已经被上传上百次了。感染的程序都十分常见,估计差不多国内 100%的 iPhone 用户都受影响了(上一个版本的微信也是受感染的)。最怕的情况是后门可能会窃取 Apple ID ,即使你不越狱,不主动泄漏,某一天自己的设备也可能被远程锁定。
最后,建议所有人开启两步验证。
irainsoft
2015-09-19 00:49:13 +08:00
从周围人反应看就跟没发生一样-_-|| 他们根本不知道
minsheng
2015-09-19 08:07:53 +08:00
谁告诉你不支持断点续传的,我人在美国下载起来毫无问题。

这个问题根本就在木瓜党,大犬们一日不受监督,中国就一日没有互联网安全可言。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/221807

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX