苹果对本次 XCode 攻击事件的可能处理

5 、假装什么都没看见

其实我觉得更可怕的是刚刚看到的这个： http://drops.wooyun.org/mobile/4998
《在非越狱的 iPhone 6 (iOS 8.1.3 ) 上进行钓鱼攻击 (盗取 App Store 密码)》

苹果好安全啊！安卓好危险啊！啪啪啪！

@moooookey 这不太可能，微信和 12306 这样的应用中招后，苹果自己不出来承担责任，中国 ZF 可不答应

苹果也很难防范这类恶意行为， App 向网络传输数据很正常，很难定位特征。也没办法限制非官方 IDE ，开发者可以在非官方 IDE 上开发，也可以使用非官方的编译器。

@moooookey 不过有一种可能，如果嫌疑人是 NSA 相关的人，苹果的内部调查可能会被迫中止，事情不了了之也不是没有可能

不是据说这次的有害 Xcode 没被 Gatekeeper 拦截提示么 这个问题很严重啊

@squid157 是这样的， gatekeeper 无法检查本身就已经剥离签名，并且用不支持 File Quarantine ，或者非 Mac OS X 操作系统下的下载工具下载的文件中包含的应用程序。它是防君子而不防小人的。

刚好过几天习奥会，会讨论网络安全问题。

@testisitok 安卓只是大家都不说罢了，如果安卓的开发工具被挂马，按照国内这个现状（官方东西被墙了大部分），大量开发人员使用风险未知的汉化版甚至破解版，各种来历不明甚至呗重新打包的第三方插件，碎片化严重，没地方可以下架有问题的产品（甚至某些下载平台里有大量被添加了恶意脚本未被发现的应用），权限管理混乱，各种 App 几乎都要读你的通讯录等等之类的问题细思恐极。
所以出问题，先别急着幸灾乐祸，先安利自己朋友改密码才是王道。
至于你肯定问得为什么安卓方面没有被曝光类似问题。我觉得吧，有下面几种可能。
1 ，安卓资料好弄，没必要下这么本钱去研究这种技术。
2 ，人咬狗才叫新闻。
以上。。。

@yksoft1 往根里深究还是 ZF 自己建的墙，导致苹果服务使用不变导致一系列问题，这种事最大的可能就是不了了之。在非猿类圈，能掀起来的波澜没一个明星的花边大。

@testisitok
@sunyang

来，前几天的黑技能解锁，乐一乐：

http://sites.utexas.edu/iso/2015/09/15/android-5-lockscreen-bypass/

中文版
http://bobao.360.cn/learning/detail/668.html

这次事件只能说不简单的,一个网站可以抗住国内多么多 APP 的流量,不是一般技术能达到的.我不相信是个人行为,后面可能有更深的东西可以挖掘.

以后黑产是不是又有新的思路了
运营商在接入端做各个 IDE 、 SDK 的污染缓存，只要是从官方网站的下载全部替换成污染的下载
这样就算代码写的再干净，编译时候加进去的东西很难被察觉……

来，都改成脚本语言吧 [微笑]

@camus 你当数字签名是白长的么

@mengzhuo 就这回的情况看，难说。。。。

再过几天

各国政府为了网络安全

纷纷表示限制公民（或居民）互联网活动

钓鱼看起来傻逼，但是效率比社工高得多。
我一个半吊子写了五行 Python 就搞到了 Mac 用户的密码，普通用户真的很难分清什么是钓鱼什么不是。
所以啊，苹果赶紧搞一个类似 UAC 或 SmartScreen 一样的东西。 OS X 安全性落后 Windows 太多了……

@abelyao 这个不要去搞 XX 助手，不装 Profile ，不装别人提供的开发应用，所有应用从 Appstore 下载就不会出现这样的问题。