苹果对本次 XCode 攻击事件的可能处理

2015-09-19 00:00:25 +08:00
 yksoft1

1 、危机公关,洗清各方责任;
2 、向美中两国警察报案;
3 、临时下架可能被木马感染的所有应用(由于木马特征明显,这应该不难)
4 、修改 App 审查流程,审查类似恶意代码

7333 次点击
所在节点    Apple
55 条回复
moooookey
2015-09-19 00:02:49 +08:00
5 、假装什么都没看见
abelyao
2015-09-19 00:03:40 +08:00
其实我觉得更可怕的是刚刚看到的这个: http://drops.wooyun.org/mobile/4998
《在非越狱的 iPhone 6 (iOS 8.1.3 ) 上进行钓鱼攻击 (盗取 App Store 密码)》
testisitok
2015-09-19 00:05:03 +08:00
苹果好安全啊!安卓好危险啊!啪啪啪!
yksoft1
2015-09-19 00:05:23 +08:00
@moooookey 这不太可能,微信和 12306 这样的应用中招后,苹果自己不出来承担责任,中国 ZF 可不答应
shippo7
2015-09-19 00:06:35 +08:00
苹果也很难防范这类恶意行为, App 向网络传输数据很正常,很难定位特征。也没办法限制非官方 IDE ,开发者可以在非官方 IDE 上开发,也可以使用非官方的编译器。
yksoft1
2015-09-19 00:10:47 +08:00
@moooookey 不过有一种可能,如果嫌疑人是 NSA 相关的人,苹果的内部调查可能会被迫中止,事情不了了之也不是没有可能
squid157
2015-09-19 00:13:00 +08:00
不是据说这次的有害 Xcode 没被 Gatekeeper 拦截提示么 这个问题很严重啊
yksoft1
2015-09-19 00:15:25 +08:00
@squid157 是这样的, gatekeeper 无法检查本身就已经剥离签名,并且用不支持 File Quarantine ,或者非 Mac OS X 操作系统下的下载工具下载的文件中包含的应用程序。它是防君子而不防小人的。
paicha
2015-09-19 00:25:00 +08:00
刚好过几天习奥会,会讨论网络安全问题。
sunyang
2015-09-19 00:44:10 +08:00
@testisitok 安卓只是大家都不说罢了,如果安卓的开发工具被挂马,按照国内这个现状(官方东西被墙了大部分),大量开发人员使用风险未知的汉化版甚至破解版,各种来历不明甚至呗重新打包的第三方插件,碎片化严重,没地方可以下架有问题的产品(甚至某些下载平台里有大量被添加了恶意脚本未被发现的应用),权限管理混乱,各种 App 几乎都要读你的通讯录等等之类的问题细思恐极。
所以出问题,先别急着幸灾乐祸,先安利自己朋友改密码才是王道。
至于你肯定问得为什么安卓方面没有被曝光类似问题。我觉得吧,有下面几种可能。
1 ,安卓资料好弄,没必要下这么本钱去研究这种技术。
2 ,人咬狗才叫新闻。
以上。。。
sunyang
2015-09-19 00:47:35 +08:00
@yksoft1 往根里深究还是 ZF 自己建的墙,导致苹果服务使用不变导致一系列问题,这种事最大的可能就是不了了之。在非猿类圈,能掀起来的波澜没一个明星的花边大。
Luzifer
2015-09-19 00:48:18 +08:00
ForgotFun
2015-09-19 00:50:48 +08:00
这次事件只能说不简单的,一个网站可以抗住国内多么多 APP 的流量,不是一般技术能达到的.我不相信是个人行为,后面可能有更深的东西可以挖掘.
camus
2015-09-19 01:01:43 +08:00
以后黑产是不是又有新的思路了
运营商在接入端做各个 IDE 、 SDK 的污染缓存,只要是从官方网站的下载全部替换成污染的下载
这样就算代码写的再干净,编译时候加进去的东西很难被察觉……
mongodb
2015-09-19 01:06:50 +08:00
来,都改成脚本语言吧 [微笑]
mengzhuo
2015-09-19 01:09:43 +08:00
@camus 你当数字签名是白长的么
tyfulcrum
2015-09-19 01:22:31 +08:00
@mengzhuo 就这回的情况看,难说。。。。
ericls
2015-09-19 01:26:41 +08:00
再过几天

各国政府为了网络安全

纷纷表示限制公民(或居民)互联网活动
RqPS6rhmP3Nyn3Tm
2015-09-19 01:43:05 +08:00
钓鱼看起来傻逼,但是效率比社工高得多。
我一个半吊子写了五行 Python 就搞到了 Mac 用户的密码,普通用户真的很难分清什么是钓鱼什么不是。
所以啊,苹果赶紧搞一个类似 UAC 或 SmartScreen 一样的东西。 OS X 安全性落后 Windows 太多了……
terence4444
2015-09-19 03:00:59 +08:00
@abelyao 这个不要去搞 XX 助手,不装 Profile ,不装别人提供的开发应用,所有应用从 Appstore 下载就不会出现这样的问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/221891

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX