V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iOS 开发实用技术导航
NSHipster 中文版
http://nshipster.cn/
cocos2d 开源 2D 游戏引擎
http://www.cocos2d-iphone.org/
CocoaPods
http://cocoapods.org/
Google Analytics for Mobile 统计解决方案
http://code.google.com/mobile/analytics/
WWDC
https://developer.apple.com/wwdc/
Design Guides and Resources
https://developer.apple.com/design/
Transcripts of WWDC sessions
http://asciiwwdc.com
Cocoa with Love
http://cocoawithlove.com/
Cocoa Dev Central
http://cocoadevcentral.com/
NSHipster
http://nshipster.com/
Style Guides
Google Objective-C Style Guide
NYTimes Objective-C Style Guide
Useful Tools and Services
Charles Web Debugging Proxy
Smore
wezzard
V2EX  ›  iDev

有人自稱是 XcodeGhost 的作者,並且發佈了源代碼

  •  
  •   wezzard · 2015-09-19 08:21:36 +08:00 · 9883 次点击
    这是一个创建于 3355 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天早上在微博看到的,有人自稱是 XcodeGhost 的作者,並且發佈了源代碼。

    https://github.com/XcodeGhostSource/XcodeGhost
    72 条回复    2015-09-20 16:28:28 +08:00
    gqz149275
        1
    gqz149275  
       2015-09-19 08:27:28 +08:00
    为嘛他要说周末愉快,然而我并不愉快。:D
    nellace
        2
    nellace  
       2015-09-19 08:36:57 +08:00
    但是媒体似乎抓住了各种爆点,搞了个大新闻,把 app 产品到开发者再到苹果几乎黑了一遍
    Hyperion
        3
    Hyperion  
       2015-09-19 08:39:04 +08:00 via Android
    按照隔壁麦芽地的处理,虽然这个没有传播性,但起码警察叔叔上门是没跑了。

    以及,给出源码也没用,还得以 dump 出来为准。
    NickLiulol
        4
    NickLiulol  
       2015-09-19 08:39:23 +08:00 via iPhone
    @nellace 我国媒体都还是年轻人,想搞个大新闻
    wdlth
        5
    wdlth  
       2015-09-19 08:40:50 +08:00
    媒体不搞新闻,明天就没下文……
    itfanr
        6
    itfanr  
       2015-09-19 08:45:26 +08:00
    神奇的 v2ex
    TaoTHU
        7
    TaoTHU  
       2015-09-19 08:46:50 +08:00
    然而我觉得这个声明并不可信。

    结合被扒出来的该网址 DNS 与 XY 助手的关系,
    还有已经被大家分析出来的功能,
    以及众多用户回忆起的莫名弹出 icloud 密码输入框的事实

    匿名发个声明说这是某个人开发爱好者的试验?

    反正我不信
    187j3x1
        8
    187j3x1  
       2015-09-19 08:49:44 +08:00
    现在才怂 迟啦 这么多厂商被打脸
    ddqp
        9
    ddqp  
       2015-09-19 08:54:14 +08:00 via iPhone
    Xy 出来顶罪的
    chengxiao
        10
    chengxiao  
       2015-09-19 09:04:56 +08:00
    这个漏洞存在了多久 ? 如果真的有涉嫌盗窃 icloud 的嫌疑的话 那之前洗白被盗 iPhone 跟这个是否有关系?还有这次腾讯 网易 豆瓣 百度均有中招,不彻查看来不太可能了
    Laforet
        11
    Laforet  
       2015-09-19 09:10:40 +08:00
    @chengxiao

    https://archive.is/X5GGX

    从当事人开始发布挂马的 xcode 时间算至少六个月

    http://www.cert.org.cn/publish/main/12/2015/20150914152821158428128/20150914152821158428128_.html

    体制内机构通报是 9 月 14 日,厂商应该比这个更早获得消息。

    但是大部分人得知这个消息是昨天而且一开始都在喷网易也是奇怪。
    1023400273
        12
    1023400273  
       2015-09-19 09:12:30 +08:00
    话说出现这个情况,是不是 GFW 也有一部分责任?
    nikubenki
        13
    nikubenki  
       2015-09-19 09:22:13 +08:00
    那伪造密码弹窗怎么解释
    chengxiao
        14
    chengxiao  
       2015-09-19 09:29:39 +08:00
    突然有个邪恶的想法,会不会是某公司的公关....
    貌似整个风向开始转了~
    nikubenki
        15
    nikubenki  
       2015-09-19 09:34:31 +08:00
    @chengxiao
    你是说 X 易咩,我觉得他们微博公告确实太不负责,根本就是在说
    “本次篡改者并没有获取任何个人信息,然而他要是想获取,我们也是没办法,该泄漏的早就泄露了。”
    wzqcongcong
        16
    wzqcongcong  
       2015-09-19 09:50:25 +08:00
    代码写得好像挺草率的样纸~一会用 NO ,一会用 false 的。
    tinyproxy
        17
    tinyproxy  
       2015-09-19 09:54:59 +08:00 via iPhone
    @1023400273 苹果的责任, gfw 在不见 vs 出这种问题
    1023400273
        18
    1023400273  
       2015-09-19 09:57:17 +08:00
    @tinyproxy 我觉得大家要用这件事情指责 GFW ,加速我墙的倒塌
    wzqcongcong
        19
    wzqcongcong  
       2015-09-19 09:58:32 +08:00
    请问作者是如何修改 Xcode 默认的 project 配置文件的
    est
        20
    est  
       2015-09-19 10:04:24 +08:00
    @tinyproxy 毛的苹果的责任。这恶意 lib 的行为和第三方广告商 SDK 没有本质的区别,都是向第三方服务器发送统计数据。苹果能怎么办?

    苹果做多只能事后批量下架这些 app 要求整改。
    yxjxx
        21
    yxjxx  
       2015-09-19 10:13:29 +08:00
    脑动一下:会不会有大厂的开发者是故意使用 XCodeGhost 打包应用的啊?
    yxjxx
        22
    yxjxx  
       2015-09-19 10:14:27 +08:00
    脑动->脑洞
    AKQJT
        23
    AKQJT  
       2015-09-19 10:19:32 +08:00
    @yxjxx 脑洞真大
    Heracles
        24
    Heracles  
       2015-09-19 10:19:38 +08:00
    @1023400273 不是墙的责任,而是☭的责任。就像 Adobe CC ,并没有被墙,但因为政策限制,无法进入大陆,导致大陆用户要买 Creative Cloud 非常费劲。
    CRH
        25
    CRH  
       2015-09-19 10:19:50 +08:00
    @nikubenki 没有证据证明他弹了密码框啊。。
    learnshare
        26
    learnshare  
       2015-09-19 10:31:13 +08:00
    只是发个声明而已,甚至连烟雾弹都算不上。
    huobazi
        27
    huobazi  
       2015-09-19 10:51:24 +08:00
    还有人在 issues 劝自首........
    nicevoice
        28
    nicevoice  
       2015-09-19 10:51:49 +08:00
    哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈。
    大内 gfw 啊,想下就知道了。
    其实也没有什么卵用。
    你能查出什么来, 5 块钱的还是紫色的呢~
    disonlee
        29
    disonlee  
       2015-09-19 10:54:06 +08:00
    只是个声明,该犯法还犯法,该捡肥皂还得捡。
    如果不知什么是底线,就算你是技术大牛,别人看起来也顶多是个超级大混蛋。
    breeswish
        30
    breeswish  
       2015-09-19 10:57:51 +08:00
    @est 苹果怎么没责任了.. CDN 不做好, Gate Keeper 形如虚设(有设计问题),应用上架审核也是不能发现这种恶意行为
    missdeer
        31
    missdeer  
       2015-09-19 10:58:34 +08:00   ❤️ 1
    用我同事的话说,如果真是个实验,也用不着那么富有伪装性的域名了。
    est
        32
    est  
       2015-09-19 11:00:50 +08:00
    @breeswish CDN 和 GateKeeper 暂不说,您倒是说说假如您是苹果,如何发现并审核这种“恶意”行为?据我所知所有第三方广告 SDK 都有统计基本信息的行为。
    wanglie
        33
    wanglie  
       2015-09-19 11:26:25 +08:00
    现在中国有什么软件是安全的。。。
    breeswish
        34
    breeswish  
       2015-09-19 11:26:33 +08:00
    @est 我的意思是应用审核是不能发现这种恶意行为的
    est
        35
    est  
       2015-09-19 11:29:24 +08:00
    @breeswish 是的。
    breeswish
        36
    breeswish  
       2015-09-19 11:30:06 +08:00
    @est 确实是如您所说。这也正是问题所在,应用审核这套安全机制从根本上是不适合于这种情况的。

    这好比安全软件从特征码查杀到主动防御,特征码查杀确实有一定安全效果,却不是一个很好的方法。在特征码下,个人写的恶意软件是无法识别的,这是根本上的问题。相比之下主动防御就比它高明。

    希望看到苹果有更高明的手段。
    NovemberEleven
        37
    NovemberEleven  
       2015-09-19 11:40:57 +08:00
    人才了,突然觉得自己好渺小。
    lzxgh621
        38
    lzxgh621  
       2015-09-19 11:44:18 +08:00
    苹果既然有那个应用审核系统,就要负一些责。
    不能说出事了,就用各种理由排除,那还要那个干嘛。
    也别再宣传什么更安全了。
    likuku
        39
    likuku  
       2015-09-19 11:47:45 +08:00
    修改 xcode 安装包,然后四处传播,这算不算刑法的「破坏计算机信息系统罪」里的「故意制作、传播计算机病毒等破坏性程序」的行为嘛?
    yuelang85
        40
    yuelang85  
       2015-09-19 11:50:51 +08:00
    @est 如果苹果的服务器快一点,谁去找第三方下载啊


    @lzxgh621 难道你让苹果出一个政策,所有应用不得向服务器发送消息?
    yksoft1
        41
    yksoft1  
       2015-09-19 12:09:44 +08:00
    @likuku 同时也是侵犯了苹果的著作权
    ibremn
        42
    ibremn  
       2015-09-19 12:10:38 +08:00
    http://security.tencent.com/index.php/blog/msg/96
    看看腾讯的分析。。这个病毒有远程控制功能。。保守估计有 1 亿用户受此影响。
    远比想象中的严重。。
    codecrash
        43
    codecrash  
       2015-09-19 12:13:12 +08:00
    @1023400273 墙不是那么容易倒的
    shiny
        44
    shiny  
       2015-09-19 12:15:25 +08:00
    看到传闻说此人是 XY 助手公司的员工
    XDA
        45
    XDA  
       2015-09-19 12:21:08 +08:00 via iPhone
    别地方看到的翻译:“反正上是已经上了,不过没怀上,各位老公请放心并保持心情愉快!”


    以后装 Xcode 还是从官网下 dmg 然后校验 MD5 和 SHA 放心,请 Apple 提供所有下载的 MD5
    glasslion
        46
    glasslion  
       2015-09-19 13:38:53 +08:00
    呵呵, init.icloud-analysis.com 这个域名明显钓鱼的嘛
    sobigfish
        47
    sobigfish  
       2015-09-19 13:51:43 +08:00
    @ibremn 腾讯也是适合诸葛亮,查出来了怎么之前没像大众通报。
    sobigfish
        48
    sobigfish  
       2015-09-19 13:53:02 +08:00
    呃,这么多错别字
    适合=》事后
    像=》向
    lawder
        49
    lawder  
       2015-09-19 14:16:53 +08:00
    我觉得发送统计数据都是伪装,根据服务器返回的数据执行不同的代码才是它的真正目的。
    LINAICAI
        50
    LINAICAI  
       2015-09-19 14:18:12 +08:00
    为什么他这么轻描淡写,但我却觉得性质非常恶劣。
    perseawe
        51
    perseawe  
       2015-09-19 15:34:33 +08:00
    太扯淡了,明显是带有恶意的有意识的攻击行为。
    StargazerWikiv
        52
    StargazerWikiv  
       2015-09-19 16:25:50 +08:00 via iPhone
    牛逼的人自然有牛逼的处理办法,编译器有漏洞好牛啊
    Dashit
        53
    Dashit  
       2015-09-19 16:33:08 +08:00
    @yuelang85 iOS9 的 ATS 可以过滤域名。
    fallwithme
        54
    fallwithme  
       2015-09-19 17:57:14 +08:00
    @est 也许苹果可以要求开发者列出所有应用用到的域名,并必须在服务器上放一个使用开发者私钥签名的文件,然后屏蔽掉对其他域名的访问。当然,如果开发者的私钥被恶意 Xcode 窃取了那谁也没辙。
    fallwithme
        55
    fallwithme  
       2015-09-19 18:01:12 +08:00
    @XDA Gatekeeper 就是自动替你去校验可执行文件的机制,只不过很多人为了图方便把这个机制手工关闭了,更不能指望他们会去主动校验 checksum 了。
    Silicon
        56
    Silicon  
       2015-09-19 18:07:25 +08:00
    想承受住微信活跃用户几个月的访问,不是个人开发者花几千块就能搞定的吧?
    更何况还有网易云音乐和各种银行客户端,还有在百度云上的布局。
    说是个人行为,鬼才信。
    est
        57
    est  
       2015-09-19 18:32:19 +08:00
    @fallwithme 理论可行,实际操作很难。比如 p2p 类。
    iheshix
        58
    iheshix  
       2015-09-19 18:59:17 +08:00
    个人并不太相信。微博上喵神粗略的算了下:

    ========
    算个账,微信用户总数 5 亿日活 70%。每天每人就算 5 个 POST 请求,每个请求 300Byte ,日流入流量就接近 500G ,以及 17.5 亿次请求。据说服务器扔在亚马逊,那么资费算一下每个月应该是存储$450 ,请求$260K 。这还只是单单一个微信,再算上网易云音乐等等,每月四五十万刀仅仅是苦逼 iOS 开发者的个人实验?
    http://weibo.com/2210132365/CBfDJiFTq
    ========

    所以,这个苦逼的 iOS 开发者挺有钱啊!
    Imivan
        59
    Imivan  
       2015-09-19 19:03:37 +08:00
    周围的人没有一个知道这个事。
    a154312237
        60
    a154312237  
       2015-09-19 19:18:57 +08:00 via iPhone
    让 xcode 在 build 的时候 加入一个有关 xcode 本身及其编译配置文件的校验值的签名
    容易实现不?
    Laforet
        61
    Laforet  
       2015-09-19 19:22:05 +08:00
    @iheshix

    EC2 流入数据不计费的
    wzqcongcong
        62
    wzqcongcong  
       2015-09-19 20:03:53 +08:00
    请问作者是如何修改 Xcode 默认的 project 配置文件,然后链接上那个库的~~
    kaneg
        63
    kaneg  
       2015-09-19 20:38:54 +08:00
    这个病毒作者的技术牛是一方面,更牛的是能让带毒的 Xcode 渗透到这么多 IT 大厂
    IvanLing
        64
    IvanLing  
       2015-09-19 21:44:41 +08:00
    有理由相信 这个 ghost 跟二手手机的赃机有关系,因为赃机没有 apple id 等于零配件。。。
    yy77
        65
    yy77  
       2015-09-19 21:56:18 +08:00 via iPhone
    明显就有主观恶意,只不过现在想要推脱责任而已。
    beimenjun
        66
    beimenjun  
       2015-09-19 22:01:37 +08:00
    @Silicon 我可以确定的是 6.2.3 没有这个问题,我比较倾向于只有 9 月 10 日发布的 6.2.5 有这个问题,服务器差不多也是那时候关闭了,说不定和微信大规模的用户量有关系。

    问题关键是 6.2.4 有没有这个问题。
    test1000
        67
    test1000  
       2015-09-19 23:12:39 +08:00
    我来爆点料吧,这根本不是一个人,作者故意忽略了弹窗和跳转这 2 个最严重的问题,明显是有公关团队帮写的稿子, xy 助手每年的利润都是上亿的,背后的公司是上海恺英网络,老板王悦,是从庞升东的 51.com 出来的,这绝对不是我乱说,人家前两天刚借壳上市,名字叫泰亚股份,我所说的这些都是公开信息,你们可以去看证监会的公告他们每年的利润是多少,还有各个股东的名字都可以查出来。

    结合喵神说的你们应该明白是怎么回事了,太多的我就不好说了。
    fszaer
        69
    fszaer  
       2015-09-20 09:33:45 +08:00
    他的发言稿我总结了一下
    我在你家电脑植入木马只是玩玩而已,真的没有想要干些什么事,你要信我啊
    qian19876025
        70
    qian19876025  
       2015-09-20 10:57:02 +08:00
    @nellace 自己安全意识不高 怪谁 自己的错还是要认账
    rwalle
        71
    rwalle  
       2015-09-20 12:07:36 +08:00 via Android
    @iheshix 微信用户里面 iOS 用户的比例恐怕到不了一半吧。。。
    vileer
        72
    vileer  
       2015-09-20 16:28:28 +08:00
    @sobigfish 不是事后诸葛亮,因为涉及内部产品,所以低调处理,分析还没出来的时候,就已经所有的产品自查了,包括 android 的,使用第三方的库都要谨慎对待,不要问题我为什么知道,:掩面
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5889 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 03:37 · PVG 11:37 · LAX 19:37 · JFK 22:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.