苹果对本次 XCode 攻击事件的可能处理

5 、假装什么都没看见

其实我觉得更可怕的是刚刚看到的这个： http://drops.wooyun.org/mobile/4998
《在非越狱的 iPhone 6 (iOS 8.1.3 ) 上进行钓鱼攻击 (盗取 App Store 密码)》

苹果好安全啊！安卓好危险啊！啪啪啪！

@moooookey 这不太可能，微信和 12306 这样的应用中招后，苹果自己不出来承担责任，中国 ZF 可不答应

苹果也很难防范这类恶意行为， App 向网络传输数据很正常，很难定位特征。也没办法限制非官方 IDE ，开发者可以在非官方 IDE 上开发，也可以使用非官方的编译器。

@moooookey 不过有一种可能，如果嫌疑人是 NSA 相关的人，苹果的内部调查可能会被迫中止，事情不了了之也不是没有可能

不是据说这次的有害 Xcode 没被 Gatekeeper 拦截提示么 这个问题很严重啊

@squid157 是这样的， gatekeeper 无法检查本身就已经剥离签名，并且用不支持 File Quarantine ，或者非 Mac OS X 操作系统下的下载工具下载的文件中包含的应用程序。它是防君子而不防小人的。

刚好过几天习奥会，会讨论网络安全问题。

@testisitok 安卓只是大家都不说罢了，如果安卓的开发工具被挂马，按照国内这个现状（官方东西被墙了大部分），大量开发人员使用风险未知的汉化版甚至破解版，各种来历不明甚至呗重新打包的第三方插件，碎片化严重，没地方可以下架有问题的产品（甚至某些下载平台里有大量被添加了恶意脚本未被发现的应用），权限管理混乱，各种 App 几乎都要读你的通讯录等等之类的问题细思恐极。
所以出问题，先别急着幸灾乐祸，先安利自己朋友改密码才是王道。
至于你肯定问得为什么安卓方面没有被曝光类似问题。我觉得吧，有下面几种可能。
1 ，安卓资料好弄，没必要下这么本钱去研究这种技术。
2 ，人咬狗才叫新闻。
以上。。。

@yksoft1 往根里深究还是 ZF 自己建的墙，导致苹果服务使用不变导致一系列问题，这种事最大的可能就是不了了之。在非猿类圈，能掀起来的波澜没一个明星的花边大。

@testisitok
@sunyang

来，前几天的黑技能解锁，乐一乐：

http://sites.utexas.edu/iso/2015/09/15/android-5-lockscreen-bypass/

中文版
http://bobao.360.cn/learning/detail/668.html

这次事件只能说不简单的,一个网站可以抗住国内多么多 APP 的流量,不是一般技术能达到的.我不相信是个人行为,后面可能有更深的东西可以挖掘.

以后黑产是不是又有新的思路了
运营商在接入端做各个 IDE 、 SDK 的污染缓存，只要是从官方网站的下载全部替换成污染的下载
这样就算代码写的再干净，编译时候加进去的东西很难被察觉……

来，都改成脚本语言吧 [微笑]

@camus 你当数字签名是白长的么

@mengzhuo 就这回的情况看，难说。。。。

再过几天

各国政府为了网络安全

纷纷表示限制公民（或居民）互联网活动

钓鱼看起来傻逼，但是效率比社工高得多。
我一个半吊子写了五行 Python 就搞到了 Mac 用户的密码，普通用户真的很难分清什么是钓鱼什么不是。
所以啊，苹果赶紧搞一个类似 UAC 或 SmartScreen 一样的东西。 OS X 安全性落后 Windows 太多了……

@abelyao 这个不要去搞 XX 助手，不装 Profile ，不装别人提供的开发应用，所有应用从 Appstore 下载就不会出现这样的问题。

3 and 4

所以 app store 上面的那些软件可能都带有这个木马？

苹果会教我们从正规渠道下载

明天 WP 大卖？

6 、自己放到百度网盘……
7 、大出血接入 ChinaCache 、网宿和快网等国内 CDN
8 、回应为何移动、铁通、长宽等运营商发现的用户发现自己下的还是旧的……

已经下架了我的几个 app...

@yksoft1 要这么设计，还真是*gate*keeper ，看大门的啊。。

在某人访美前爆这件事情，真是巧合。

苹果要处理什么？
1 、在 xcode 里面添加自己的 Framework 本来就是被允许的，你甚至都不用硬要添加到 xcode.app 的目录中，只要在编译器中指定路径就可以。
2 、基于第一条，类似这次的事件，苹果根本没法预防，它没有修改任何苹果的文件。然后添加的文件苹果靠什么来判断是开发者自己需要的，还是别人添加的，是恶意的还是善意的？
3 、有人总在说从不明源下载 xcode 的开发者情有可愿，因为苹果的服务器太慢。拜托，这次受影响的恰恰是那些大公司，内部对开发工具没有管理？不会唯一一个管理源从官方下载，然后内部分发？

@yksoft1 所以呢，牵扯上亿用户的事件，苹果现在可有回应？

同上，并不觉得苹果有责任。

方校长躺枪啊～ 你们说对不对？

@moooookey 苹果已经走了流程 3 和 4 。见 http://www.v2ex.com/t/221936

@camus

当年有个笑话，黑产人员用 delphi 写木马结果被盗版 delphi 编译器二次挂马....

https://nakedsecurity.sophos.com/2009/08/19/w32induca-spread-delphi-software-houses/

@Laforet 那个 sysconst.dcu 病毒本身是源码形式，可以自己修改加入更强的破坏性内容，比如我就见过在某一天自动删除全硬盘.pas 文件的

这应该是赤果果的犯罪吧，有动机有行动。

@moooookey 低端黑，没更新修复的 App 都下架了好吧

大大要去访美了，这幺蛾子是要干嘛？

这种事情 app 审查没法审吧，从苹果的角度看， app 的行为都是合规的啊。要是审核连接特定服务器的话，换个服务器不就没事了？那后续有变种怎么办？苹果的审查肯定不会这么蠢的吧

@testisitok 安卓获取手机识别码几乎是个 app 都有的权限，这玩意还用爆出来？

@Borden 苹果审核是不需要提交源代码的，只要扫描器没有扫出禁止使用的系统调用、漏洞 exploit 等玩意，里面逻辑怎么样只要 UI 上看不出来都没问题

lz 好像就说中了
3 、临时下架可能被木马感染的所有应用（由于木马特征明显，这应该不难）

不过这个也是应该的。 124 就是臆想了，甚至腾讯安全团队爆料在 9.16 就将漏洞信息汇报给苹果官方（ http://security.tencent.com/index.php/blog/msg/96 ），但苹果直到网络上大规模爆料才开始下架应用。

@9hills 既然能要求带木马的应用下架，又能判断重新上架的还有没有木马，自然 4 是很符合逻辑的

@yksoft1 这次下架只是针对这一个木马，但换个名字苹果就识别不出来了。

我们用友盟啥的会不会正好被第四个 bingo 啊？

@9hills
@marvinwilliam
我感觉苹果迟早会开始分析各种广告联盟插件的

@yksoft1 我知道啊，我说的就是这个意思啊！

12306 已经被下架了

@cxl008 还好我备份了 clutch 版的 ipa

@yksoft1 正在铁道部 fix bug 囧。。。。。。。。

苹果躺枪么。
不就是贵国网络墙墙墙，弄得 store 慢慢慢，相关人员懒懒懒，玩个 cache 假假假。
可能导致 appstore 隔离简体中文区，自己玩去……

中国有一句话叫，闷声发大财

@camus 一个全程 HTTPS 直接搞定
@yksoft1 iOS9 已经开始允许屏蔽广告的 Extension 上架了

问题是，能屏蔽广告的工具本身是通用屏蔽工具，屏蔽追踪并不是麻烦事

@dd99iii Cook: 美国的 NSA ，比这黑客不知道高到哪里去了，我和他们谈笑风生