这是一个创建于 3338 天前的主题,其中的信息可能已经有所发展或是发生改变。
关于最近非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码问题分析 : http://drops.wooyun.org/news/8864
网易云音乐也被注入了!
文明语言的网易,用了这么久,哎。
以后都不敢用网易的东西了,太不严谨了。
三石还是去卖你的猪吧
第 1 条附言 · 2015-09-18 13:26:24 +08:00
防止文章被删,我截图做个保存吧
第 2 条附言 · 2015-09-18 13:58:37 +08:00
事情大条了,
第 3 条附言 · 2015-09-18 14:13:36 +08:00
第 4 条附言 · 2015-09-18 14:33:15 +08:00
根据热心网友举报,投毒者网名为” coderfun ”。他在各种 iOS 开发者论坛或者 weibo 后留言引诱 iOS 开发者下载有毒版本的 Xcode 。并且中毒的版本不止 Xcode 6.4 ,还有 6.1 , 6.2 和 6.3 等等。
第 5 条附言 · 2015-09-18 14:55:27 +08:00
第 6 条附言 · 2015-09-18 15:26:31 +08:00
第 7 条附言 · 2015-09-18 15:35:09 +08:00
第 8 条附言 · 2015-09-18 15:39:25 +08:00
关于”?“的梗,如果给我一次编辑的机会,我会改成:我在微博上看到别人说网易用黑苹果,我就是质疑一下,有必要骂人吗?
第 9 条附言 · 2015-09-18 15:43:46 +08:00
第 10 条附言 · 2015-09-18 17:54:51 +08:00
感谢 @5up3r 提供的 XcodeGhost 感染的 App 列表
https://github.com/zengyun-programmer/XcodeGhostApps/blob/master/XcodeGhost%20Apps.md
https://github.com/zengyun-programmer/XcodeGhostApps/blob/master/XcodeGhost%20Apps.md
 |
1
Ryekee 2015-09-18 12:46:41 +08:00
开发太不靠谱了
|
 |
3
freewarcraft 2015-09-18 13:10:18 +08:00
是不是 iOS 和 mac 版都存在这个问题?
|
 |
4
jimrok 2015-09-18 13:11:15 +08:00  1
应该是 build 服务器没有买 mac mini ,用的虚拟化做的黑苹果。
|
 |
5
yangjie6020 2015-09-18 13:20:21 +08:00
我擦。。。。
|
 |
6
lisonfan OP @freewarcraft 那篇文章就分析了 iOS 版的,但是也不敢用网易的产品了,公司太不严谨了,自查都没有
|
 |
7
bhqt 2015-09-18 13:27:23 +08:00
网易还有个应用是网易有钱。。难道。。估计。。
|
 |
8
bullettrain1433 2015-09-18 13:32:18 +08:00
@lisonfan 好吧,我也都删了
|
 |
9
loading 2015-09-18 13:33:47 +08:00 via Android
怎么没人怪苹果审核呢?
|
 |
10
chalio 2015-09-18 13:34:27 +08:00
我屮艸芔茻,立刻卸载
|
 |
11
jukka 2015-09-18 13:36:58 +08:00 1
看看网易怎么来做这个危机公关了。
|
 |
12
StargazerWikiv 2015-09-18 13:37:48 +08:00
@lisonfan 删了。。。 mac 上面的删不删好呢?感觉也是黑苹果开发的。
|
 |
13
kxxoling 2015-09-18 13:37:49 +08:00
黑苹果就不能用 App Store 了吗?白苹果也可能用迅雷或者百度先离线下来啊,直接从苹果的服务器上下载速度可怜。
这个帖子基本上已经是全文转载了吧? @livid |
 |
14
SquirrelMAN 2015-09-18 13:38:16 +08:00
怎么过的苹果审核
|
 |
16
falcon05 2015-09-18 13:41:45 +08:00
没想到网易这么穷的
|
 |
17
huangweihua 2015-09-18 13:42:07 +08:00
也没必要诛人家全家,我作为一名 iOS 开发者,会有很多情况让我们从其他途径安装 xcode 。比如墙。。。或者下载缓慢,多次下载失败等等。
|
|
18
lisonfan OP @StargazerWikiv 我是不敢用网易家的了
|
|
19
lisonfan OP @huangweihua 不敢用了..
|
 |
21
CommandZi 2015-09-18 13:45:03 +08:00
那问题来,网易云音乐 2.8.3 使用中,我需要修改 apple id 密码吗?
|
|
22
lisonfan OP @huangweihua 鄙人目前也在学习 iOS 开发,昨天在 MAS 上更新 7 ,能跑满我这的带宽呀
|
 |
23
shiny 2015-09-18 13:46:05 +08:00
@huangweihua 网易没墙
|
 |
24
xdeng 2015-09-18 13:48:36 +08:00
|
 |
25
vpslover 2015-09-18 13:51:11 +08:00 via iPhone
还好不经常沾网易
|
 |
26
bk201 2015-09-18 13:52:00 +08:00
你怎么知道不是网易内部某人干的(脑洞大
|
 |
27
zerh925 2015-09-18 13:52:31 +08:00
这尼玛
|
 |
28
semicircle21 2015-09-18 13:53:02 +08:00
这是下载渠道的问题, 关黑苹果什么事, 就是用垃圾桶也可能因为从迅雷下载 xcode 中招啊.
|
 |
29
vmebeh 2015-09-18 13:55:10 +08:00 1
根本原因还是兲朝离地球太远,网络不好
|
 |
30
youxiachai 2015-09-18 13:55:48 +08:00
对了,我也吐槽.更黑苹果没啥关系............xcode 下载.可能网易的网络也很慢....
|
 |
31
Wangxf 2015-09-18 13:58:33 +08:00
居然还有人下载软件从第三方渠道?
|
 |
32
hahasong 2015-09-18 14:01:11 +08:00
网易新闻挂马没,平时都只听虾米音乐
|
 |
33
JohnSmith 2015-09-18 14:01:58 +08:00
mac 版不知道有没有事,网易的歌单挺合我意的
|
 |
34
liuzhedash 2015-09-18 14:02:33 +08:00
如果用了这个版本的网易云音乐 会有什么可能的风险?
|
 |
36
orvice 2015-09-18 14:05:08 +08:00
|
 |
37
mailworks 2015-09-18 14:07:22 +08:00
黑苹果也能从 AppStore 下载应用甚至更新 MacOS 系统
|
 |
38
mofet 2015-09-18 14:08:25 +08:00
我觉得挺奇怪的,第一次运行 Xcode 的时候,不是会有一个联网验证 Xcode 的过程吗?应该是直接向苹果校验吧,为什么在那一步无法报错。
|
|
39
mailworks 2015-09-18 14:08:46 +08:00
从第三方下载的原因绝大多数是官网下载慢
|
 |
40
zonghua 2015-09-18 14:11:26 +08:00
你这样对别的软件进行逆向工程可以吗?
|
 |
41
hging 2015-09-18 14:14:19 +08:00
哦. 12306 也被植入了. 中信也植入了. 滴滴打车也植入了 楼主你什么心态这么喷网易?
|
 |
42
clowwindy 2015-09-18 14:14:33 +08:00 4
要不是苹果的 CDN 那么不靠谱,也不会有那么多国内开发者用迅雷下 Xcode 。
|
 |
43
hylddd 2015-09-18 14:16:39 +08:00
@youxiachai 最后一句很对
|
 |
44
Jermic 2015-09-18 14:24:41 +08:00
然而不要无脑喷。谁说一定是黑苹果,苹果就不能安第三方下的 XCODE 了么。为了提前体验一下 xcode7 或者说提早 兼容一下新的特性,开发者有错也不在此, LZ 也是脑残
|
|
45
lisonfan OP |
|
46
StargazerWikiv 2015-09-18 14:25:55 +08:00
还好我一直用官网下的。。。
|
 |
48
wbolor 2015-09-18 14:26:15 +08:00
挨个抓了下包,豆瓣阅读好像也中招了。。。。。
|
 |
49
solupro 2015-09-18 14:26:29 +08:00
|
 |
52
likuku 2015-09-18 14:33:33 +08:00
@cztchoice 家用 50M 电信光纤, appStore 直接更新 xcode7 ,几乎能跑到 20-30M ,真不知道你们用的什么网络能这么差?
|
 |
53
inFinityzc 2015-09-18 14:35:28 +08:00
难道不应该谴责病毒作者么,而且出问题的也不止网易一个公司的应用。网易固然需要对自身开发的问题进行反省,但是楼主这么针对网易莫非是跟网易有什么过节。。
(顺便一提,个人是网易某游戏玩家,对于楼主骂 30 的话,只能说,骂得好~) |
 |
54
qun1me1de 2015-09-18 14:37:54 +08:00 5
[楼主标题:垃圾网易,开发 iOS 还用黑苹果? Xcode 还在百度上去下载?]
[Jermic 2 分钟前 然而不要无脑喷。谁说一定是黑苹果,苹果就不能安第三方下的 XCODE 了么。为了提前体验一下 xcode7 或者说提早 兼容一下新的特性,开发者有错也不在此, LZ 也是脑残] [lisonfan 几秒前 @Jermic 我说了一定是黑苹果?你瞎没看见我打的”?“号?] [楼下:垃圾帖,楼主脑残?楼主今天吃药了吗?] [楼主:****] [楼下:我说了一定是楼主脑残?你瞎没看见我打的“?”号?] |
 |
55
MajestySolor 2015-09-18 14:38:24 +08:00
大开眼界。。。
|
|
56
lisonfan OP @inFinityzc 后来又公布了其他的 APP 的时候,其实我是想重新编辑内容的了...
但是 V2EX 你知道的,不能编辑。所以楼主我也没办法啊... |
 |
57
coolicer 2015-09-18 14:38:34 +08:00
尼玛了
|
 |
58
MerenguesGeek 2015-09-18 14:40:17 +08:00
51 卡保险箱中招
|
 |
59
cYcoco 2015-09-18 14:42:04 +08:00
基本跪了啊 很多都中了
|
 |
61
lingaoyi 2015-09-18 14:44:32 +08:00
进来学习了。
|
 |
62
Geoion 2015-09-18 14:45:26 +08:00
中招了还有谁?
|
 |
63
chloerei 2015-09-18 14:46:24 +08:00 1
|
 |
65
wind3110991 2015-09-18 14:46:45 +08:00 2
那么大个网易,就算除去网易游戏,其他部门程序员年薪基本也不会低, ios 开发部门基本怎么可能开发不用 Mac ?
口说无凭,黑苹果?我同学在网易游戏,公司开发标配统一高配 27 寸 iMac ,其他部门最少也是 Mini 高配; 我想问楼上你们谁是网易的能站出来说句话吗,网易校招,技术的条件最低都是全 985 高校。看了帖子,然后就跟着把网易的 app 全删了,网易偷你钱了? 这个结果最有可能的情况就是,在大公司里, Xcode 的镜像作为内部软件被统一配置到了公司 tfs 里,并不是通过外网 mac store 下载,大公司开发机不能上外网这是常识,插 usb 拷贝,公司为了防止外泄资料也不允许,所以是在统一的 tfs 中下载; 最后想说句:云音乐在中国算是比较好的应用了,要是网易都不靠谱,其他小互联网公司都别活了。你们可以瞧不起网易的产品,但是要尊重人家的文化。 |
 |
66
learnshare 2015-09-18 14:47:53 +08:00
如何发现是黑苹果的?
|
|
67
inFinityzc 2015-09-18 14:49:07 +08:00
@lisonfan 求楼主补充其他中招 App
|
|
68
lisonfan OP @inFinityzc APPEND 了最新公布出来的,楼主也在等消息
|
|
69
lisonfan OP @learnshare 也是看别人说的....所以用了问号质疑
|
 |
70
sox 2015-09-18 14:51:35 +08:00
所以这和黑苹果有半毛钱关系?
|
 |
71
jkjoke 2015-09-18 14:52:09 +08:00
|
|
72
lisonfan OP |
 |
75
plqws 2015-09-18 14:53:49 +08:00
安卓党表示无压力,顺便开个地图炮,在这件事里黑网易的要么没做过移动开发,要么就是精虫上脑为了黑而黑
|
 |
76
beimenjun 2015-09-18 14:54:27 +08:00
|
|
77
learnshare 2015-09-18 14:54:57 +08:00
@lisonfan 问号的位置不能很好的表明语气
|
|
78
qun1me1de 2015-09-18 14:55:04 +08:00
@wind3110991
网易还没有发布结果,我也觉得没必要这么扣帽子。 再说了 楼主说网易一定是黑苹果了?你是不是瞎? 真对不起。。。。我说话不耐听了,但是我用问号了! 你拿我怎样? 灵感源自楼主 47 楼原话:[我说了一定是黑苹果?你瞎没看见我打的”?“号?] |
 |
79
kenzi 2015-09-18 14:56:27 +08:00
我比较想知道,都偷跑了点啥资料......不是有访问联系人啥的,我都静止了,还会偷跑吗? Apple ID 也能偷跑?
|
 |
81
niklaus520 2015-09-18 14:57:14 +08:00
|
|
83
solupro 2015-09-18 15:00:15 +08:00
  迅雷下载的貌似安全 |
|
84
wind3110991 2015-09-18 15:02:18 +08:00
@qun1me1de 我能不能认为你的回复很没有教养?
|
 |
85
machinemxy 2015-09-18 15:02:54 +08:00
这事也不全赖网易。像之前上海电信外网“故障”,我连个 Adobe flash player 都下载不下来。如果我当时急切地需要 xCode 做开发,那也只能网上找安装包了。
|
|
87
wind3110991 2015-09-18 15:04:47 +08:00
@lisonfan 这样确实对用户不公平,在安全检查方面做的不好,用户信息泄露,公司是要出面负责
|
 |
88
ZRS 2015-09-18 15:05:05 +08:00 via Android
这事基本墙要背一半锅
|
|
89
wind3110991 2015-09-18 15:06:12 +08:00
@beimenjun 我说的是官方校招
|
 |
90
yfmir 2015-09-18 15:07:21 +08:00
今天早上才下了云音乐,然后往下一看尼玛动卡空间, 12306 ,该有的我全装了。。。
不过仔细想了下,这黑 Xcode 上传的都是些 bundleID ,应用名称,国家地区等东西,对于普通用户来说这些数据杀伤力并不大,真正受影响的估计是那些软件商,这应该涉及到部分商业机密的事情了 |
 |
91
Dashit 2015-09-18 15:07:30 +08:00
现在想想 ATS 出来的挺及时的。
|
 |
92
ibugeek 2015-09-18 15:09:37 +08:00
@wind3110991 为什么我在微博上看网易的前员工都说网易抠,开发用的是黑苹果或者自带。
网易开发人员赶紧出来反驳! |
|
93
lisonfan OP @yfmir 可能没有泄露用户的个人隐私数据,但是转过头来想,一家公司这么不严谨,推向公众之前都不自查?还能相信这家公司吗?
|
|
94
qun1me1de 2015-09-18 15:10:38 +08:00
|
 |
95
tsui 2015-09-18 15:11:37 +08:00
|
 |
96
KingHL 2015-09-18 15:12:47 +08:00
我司最近一直中招,怒其不争啊。
|
|
97
tsui 2015-09-18 15:14:18 +08:00
@wind3110991 我觉得吧,学生党就不要死撑着嘴犟了,别人说事实你出来喷是假的,有了来源被打脸了,又说别人没教养。我觉得,你重新定义了“教养”。
|
|
98
beimenjun 2015-09-18 15:17:59 +08:00
@beimenjun 你仔细看这些招聘帖子里求证的黑苹果传闻以及回应。
微博上已经有前员工确认黑苹果了,你可以关注一些别人发给你的微博连接。 其实开发机很可能是可以练到外网的,可以说这回就是低级错误,没你想得那么夸张。 |
|
99
beimenjun 2015-09-18 15:18:17 +08:00
|
Select Language