有人自稱是 XcodeGhost 的作者，並且發佈了源代碼

为嘛他要说周末愉快，然而我并不愉快。:D

但是媒体似乎抓住了各种爆点，搞了个大新闻，把 app 产品到开发者再到苹果几乎黑了一遍

按照隔壁麦芽地的处理，虽然这个没有传播性，但起码警察叔叔上门是没跑了。

以及，给出源码也没用，还得以 dump 出来为准。

@nellace 我国媒体都还是年轻人，想搞个大新闻

媒体不搞新闻，明天就没下文……

神奇的 v2ex

然而我觉得这个声明并不可信。

结合被扒出来的该网址 DNS 与 XY 助手的关系，
还有已经被大家分析出来的功能，
以及众多用户回忆起的莫名弹出 icloud 密码输入框的事实

匿名发个声明说这是某个人开发爱好者的试验？

反正我不信

现在才怂 迟啦 这么多厂商被打脸

Xy 出来顶罪的

这个漏洞存在了多久 ？ 如果真的有涉嫌盗窃 icloud 的嫌疑的话 那之前洗白被盗 iPhone 跟这个是否有关系？还有这次腾讯 网易 豆瓣 百度均有中招，不彻查看来不太可能了

@chengxiao

https://archive.is/X5GGX

从当事人开始发布挂马的 xcode 时间算至少六个月

http://www.cert.org.cn/publish/main/12/2015/20150914152821158428128/20150914152821158428128_.html

体制内机构通报是 9 月 14 日，厂商应该比这个更早获得消息。

但是大部分人得知这个消息是昨天而且一开始都在喷网易也是奇怪。

话说出现这个情况，是不是 GFW 也有一部分责任？

那伪造密码弹窗怎么解释

突然有个邪恶的想法，会不会是某公司的公关....
貌似整个风向开始转了~

@chengxiao
你是说 X 易咩，我觉得他们微博公告确实太不负责，根本就是在说
“本次篡改者并没有获取任何个人信息，然而他要是想获取，我们也是没办法，该泄漏的早就泄露了。”

代码写得好像挺草率的样纸~一会用 NO ，一会用 false 的。

@1023400273 苹果的责任， gfw 在不见 vs 出这种问题

@tinyproxy 我觉得大家要用这件事情指责 GFW ，加速我墙的倒塌

请问作者是如何修改 Xcode 默认的 project 配置文件的

@tinyproxy 毛的苹果的责任。这恶意 lib 的行为和第三方广告商 SDK 没有本质的区别，都是向第三方服务器发送统计数据。苹果能怎么办？

苹果做多只能事后批量下架这些 app 要求整改。

脑动一下：会不会有大厂的开发者是故意使用 XCodeGhost 打包应用的啊？

脑动->脑洞

@yxjxx 脑洞真大

@1023400273 不是墙的责任，而是☭的责任。就像 Adobe CC ，并没有被墙，但因为政策限制，无法进入大陆，导致大陆用户要买 Creative Cloud 非常费劲。

@nikubenki 没有证据证明他弹了密码框啊。。

只是发个声明而已，甚至连烟雾弹都算不上。

还有人在 issues 劝自首........

哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈。
大内 gfw 啊，想下就知道了。
其实也没有什么卵用。
你能查出什么来， 5 块钱的还是紫色的呢~

只是个声明，该犯法还犯法，该捡肥皂还得捡。
如果不知什么是底线，就算你是技术大牛，别人看起来也顶多是个超级大混蛋。

@est 苹果怎么没责任了.. CDN 不做好， Gate Keeper 形如虚设（有设计问题），应用上架审核也是不能发现这种恶意行为

用我同事的话说，如果真是个实验，也用不着那么富有伪装性的域名了。

@breeswish CDN 和 GateKeeper 暂不说，您倒是说说假如您是苹果，如何发现并审核这种“恶意”行为？据我所知所有第三方广告 SDK 都有统计基本信息的行为。

现在中国有什么软件是安全的。。。

@est 我的意思是应用审核是不能发现这种恶意行为的

@breeswish 是的。

@est 确实是如您所说。这也正是问题所在，应用审核这套安全机制从根本上是不适合于这种情况的。

这好比安全软件从特征码查杀到主动防御，特征码查杀确实有一定安全效果，却不是一个很好的方法。在特征码下，个人写的恶意软件是无法识别的，这是根本上的问题。相比之下主动防御就比它高明。

希望看到苹果有更高明的手段。

人才了，突然觉得自己好渺小。

苹果既然有那个应用审核系统，就要负一些责。
不能说出事了，就用各种理由排除，那还要那个干嘛。
也别再宣传什么更安全了。

修改 xcode 安装包，然后四处传播，这算不算刑法的「破坏计算机信息系统罪」里的「故意制作、传播计算机病毒等破坏性程序」的行为嘛？

@est 如果苹果的服务器快一点，谁去找第三方下载啊


@lzxgh621 难道你让苹果出一个政策，所有应用不得向服务器发送消息？

@likuku 同时也是侵犯了苹果的著作权

http://security.tencent.com/index.php/blog/msg/96
看看腾讯的分析。。这个病毒有远程控制功能。。保守估计有 1 亿用户受此影响。
远比想象中的严重。。

@1023400273 墙不是那么容易倒的

看到传闻说此人是 XY 助手公司的员工

别地方看到的翻译：“反正上是已经上了，不过没怀上，各位老公请放心并保持心情愉快！”


以后装 Xcode 还是从官网下 dmg 然后校验 MD5 和 SHA 放心，请 Apple 提供所有下载的 MD5

呵呵， init.icloud-analysis.com 这个域名明显钓鱼的嘛

@ibremn 腾讯也是适合诸葛亮，查出来了怎么之前没像大众通报。

呃，这么多错别字
适合＝》事后
像＝》向

我觉得发送统计数据都是伪装，根据服务器返回的数据执行不同的代码才是它的真正目的。

为什么他这么轻描淡写，但我却觉得性质非常恶劣。

太扯淡了，明显是带有恶意的有意识的攻击行为。

牛逼的人自然有牛逼的处理办法，编译器有漏洞好牛啊

@yuelang85 iOS9 的 ATS 可以过滤域名。

@est 也许苹果可以要求开发者列出所有应用用到的域名，并必须在服务器上放一个使用开发者私钥签名的文件，然后屏蔽掉对其他域名的访问。当然，如果开发者的私钥被恶意 Xcode 窃取了那谁也没辙。

@XDA Gatekeeper 就是自动替你去校验可执行文件的机制，只不过很多人为了图方便把这个机制手工关闭了，更不能指望他们会去主动校验 checksum 了。

想承受住微信活跃用户几个月的访问，不是个人开发者花几千块就能搞定的吧？
更何况还有网易云音乐和各种银行客户端，还有在百度云上的布局。
说是个人行为，鬼才信。

@fallwithme 理论可行，实际操作很难。比如 p2p 类。

个人并不太相信。微博上喵神粗略的算了下：

＝＝＝＝＝＝＝＝
算个账，微信用户总数 5 亿日活 70%。每天每人就算 5 个 POST 请求，每个请求 300Byte ，日流入流量就接近 500G ，以及 17.5 亿次请求。据说服务器扔在亚马逊，那么资费算一下每个月应该是存储$450 ，请求$260K 。这还只是单单一个微信，再算上网易云音乐等等，每月四五十万刀仅仅是苦逼 iOS 开发者的个人实验？
http://weibo.com/2210132365/CBfDJiFTq
＝＝＝＝＝＝＝＝

所以，这个苦逼的 iOS 开发者挺有钱啊！

周围的人没有一个知道这个事。

让 xcode 在 build 的时候 加入一个有关 xcode 本身及其编译配置文件的校验值的签名
容易实现不？

@iheshix

EC2 流入数据不计费的

请问作者是如何修改 Xcode 默认的 project 配置文件，然后链接上那个库的~~

这个病毒作者的技术牛是一方面，更牛的是能让带毒的 Xcode 渗透到这么多 IT 大厂

有理由相信 这个 ghost 跟二手手机的赃机有关系，因为赃机没有 apple id 等于零配件。。。

明显就有主观恶意，只不过现在想要推脱责任而已。

@Silicon 我可以确定的是 6.2.3 没有这个问题，我比较倾向于只有 9 月 10 日发布的 6.2.5 有这个问题，服务器差不多也是那时候关闭了，说不定和微信大规模的用户量有关系。

问题关键是 6.2.4 有没有这个问题。

我来爆点料吧，这根本不是一个人，作者故意忽略了弹窗和跳转这 2 个最严重的问题，明显是有公关团队帮写的稿子， xy 助手每年的利润都是上亿的，背后的公司是上海恺英网络，老板王悦，是从庞升东的 51.com 出来的，这绝对不是我乱说，人家前两天刚借壳上市，名字叫泰亚股份，我所说的这些都是公开信息，你们可以去看证监会的公告他们每年的利润是多少，还有各个股东的名字都可以查出来。

结合喵神说的你们应该明白是怎么回事了，太多的我就不好说了。

他的发言稿我总结了一下
我在你家电脑植入木马只是玩玩而已，真的没有想要干些什么事，你要信我啊

@nellace 自己安全意识不高 怪谁 自己的错还是要认账

@iheshix 微信用户里面 iOS 用户的比例恐怕到不了一半吧。。。

@sobigfish 不是事后诸葛亮，因为涉及内部产品，所以低调处理，分析还没出来的时候，就已经所有的产品自查了，包括 android 的，使用第三方的库都要谨慎对待，不要问题我为什么知道，:掩面