XCode编译器被发现会在编译的应用中注入恶意代码，网易云...

SimonOpera

说道弹窗问密码，我之前已经无数次输入过了。。。还好貌似没有被盗用。。。。

Justice_jsj

引用第75楼菜鸟的弟弟于2015-09-19 00:35发表的  :
墙的问题也有，下载访问苹果服务器不知道有多慢么。。app store的app安全性审核有待提高。。程......

蠢猪的责任才是最大的，还有你说墙小公司没问题联通、网易还有腾讯有个屁关系？

----发送自 STAGE1 App for Android.

john

SimonOpera 发表于 2015-9-19 04:04
说道弹窗问密码，我之前已经无数次输入过了。。。还好貌似没有被盗用。。。。 ...

我趴在地上想了想，每次输一个假的，如果出错应该就可以继续输正确的了

zijingchensha

wp用户或成最大赢家？

Justice_jsj

引用第86楼zijingchensha于2015-09-19 07:42发表的  :
wp用户或成最大赢家？

以那些码畜的所作所为来看碰上这种事情照样跪

----发送自 STAGE1 App for Android.

john

其实我不明白为什么有那么多人认为指纹数据也会不安全，指纹是一个API，数据存在CPU里，API每次只会跟CPU里的本地数据对比最后得出True or False的结果，不产生或者获取任何数据

darkfall

费耶阿本德 发表于 2015-9-19 09:12
数据存在cpu里。。
指纹验证不是很快就出了破解吗。

是，首先要拿到用户的高精度指纹这也叫破解。还不如直接把手砍了

perfaceNext

西门无恨 发表于 2015-9-18 22:51 我甚至觉得VS的情况可能更糟糕，我认识的国内用VS的程序猿，基本都是迅雷下载的……

微软的在线安装挺快的，而且是用下载器安装的，又是免费，前两天我刚装过。其实windows本身漏洞就多，不用这么麻烦就能达到目的的。

强尼高达

费耶阿本德 发表于 2015-9-19 09:12
数据存在cpu里。。
指纹验证不是很快就出了破解吗。

不在CPU里在哪里，资料或者证据请找出来
破解又是哪里来的，你是说那个拓印你指纹然后伪造指纹的破解方法吗

starrin

微博上有个自称是作者的人冒出来并公布了源代码，表示这个是自己做的一个实验，只搜集了基本信息没干过更多的事，服务器十天前就关了，弹窗代码本来是想推送广告的但是从来没用过。
微博名字是XcodeGhost-Author

—— 来自 HUAWEI PE-TL10, Android 5.1.1

Justice_jsj

引用第93楼starrin于2015-09-19 10:14发表的  :
微博上有个自称是作者的人冒出来并公布了源代码，表示这个是自己做的一个实验，只搜集了基本信息没干过更多......

布局花了那么久各大开发论坛宣传也没少了，澄清的微博是全新的你敢信它说的话？

----发送自 STAGE1 App for Android.

starrin

Justice_jsj 发表于 2015-9-19 10:23
布局花了那么久各大开发论坛宣传也没少了，澄清的微博是全新的你敢信它说的话？

----发送自 STAGE1 App f ...

也就只能自行编译一下他的源码做比对了……

—— 来自 HUAWEI PE-TL10, Android 5.1.1

法

西门无恨 发表于 2015-9-18 23:34
@月光博客
有用户举报始作俑者的网名为coderfun，主要以各类 iOS 开发论坛和微博留言区为据点，提供带有病 ...

这才是黑客！

鸡蛋灌饼

starrin 发表于 2015-9-19 10:14
微博上有个自称是作者的人冒出来并公布了源代码，表示这个是自己做的一个实验，只搜集了基本信息没干过更多 ...

“匿名用户在Twitter上声明Stuxnet只是自己做的一个实验，只能破坏离心分离机没干过更多的事。”

鸡蛋灌饼

西门无恨 发表于 2015-9-18 23:34
@月光博客
有用户举报始作俑者的网名为coderfun，主要以各类 iOS 开发论坛和微博留言区为据点，提供带有病 ...

你们直接把这个当红色警报吧
下一步恐怕你们就能看到有人往llvm里面加修改llvm自己的代码了。

endrollex

starrin 发表于 2015-9-19 10:14
微博上有个自称是作者的人冒出来并公布了源代码，表示这个是自己做的一个实验，只搜集了基本信息没干过更多 ...

万一被抓住了，降低法律责任和舆论压力，作风还是挺老练的

搞不好是哈士奇

endrollex 发表于 2015-9-19 12:24
万一被抓住了，降低法律责任和舆论压力，作风还是挺老练的

一定是大公司

菜鸟的弟弟

SimonOpera 发表于 2015-9-19 04:03
联通光纤，满速下载xcode啊。。。

我厂下载访问苹果服务器就这么慢。。。而且还别指望在公司下好开发需要的好几个G的模拟器和开发文档

菜鸟的弟弟

Justice_jsj 发表于 2015-9-19 07:22
蠢猪的责任才是最大的，还有你说墙小公司没问题联通、网易还有腾讯有个屁关系？

----发送自 STAGE1 App f ...

我不想讨论谁的责任更大，只是希望发现哪些环节可以做的更好，可以尽可能地规避这种问题

stevenzero

码农的开发工具都是要自己去官网上下载的？公司提供的开发工具是不是和官网不同底层码农谁会管？你还能以此理由拒用不成？

—— 来自 LGE Nexus 4, Android 5.1.1

快银

菜鸟的弟弟 发表于 2015-9-19 13:27
我不想讨论谁的责任更大，只是希望发现哪些环节可以做的更好，可以尽可能地规避这种问题 ...

苹果该好好加强下
至于国内那帮…基本的都做不到还谈啥更好…

darkfall

qratosone 发表于 2015-9-19 14:28
说起来，apple有没有提供企业内网统一分发软件的解决方案？本来Xcode这种东西应该是公司服务器跟苹果服务器 ...

http://help.apple.com/serverapp/ ... A-A5CD-155E345EFB83

公司不用就没办法了，你看传闻网易还是用黑苹果，怎么能指望他们还去用osx server上cache

强尼高达

费耶阿本德 发表于 2015-9-19 14:22
Apple tells us "All fingerprint information is encrypted and stored securely in the Secure Enclave ...

好的，祝贺你抠字眼抠赢了

defer

qratosone 发表于 2015-9-19 14:28
说起来，apple有没有提供企业内网统一分发软件的解决方案？本来Xcode这种东西应该是公司服务器跟苹果服务器 ...

有，然而需要一台Mac.

不知你在知乎看没看过一个问题大概叫用新浪的2g内存开发机是什么体验，下面一群三大门户的表示三大门户都这个鸟德行。

还有个小主管凑了上万肯德基发票给部门买了个Mac。

你感受一下。

qssk

沉默之声 发表于 2015-9-19 15:41
不必和洗墙的人讨论，事情这么严重还能洗的，一般都不是蠢货。
Android的问题估计更严重，以后会有多可怕 ...

张开闭口就更严重，依据何在？安卓又不是苹果那样应用来源单一的，不像苹果把鸡蛋放在一个篮子，要么不出事，要出事，规模哪里是安卓能比？

qssk

沉默之声 发表于 2015-9-19 15:41
不必和洗墙的人讨论，事情这么严重还能洗的，一般都不是蠢货。
Android的问题估计更严重，以后会有多可怕 ...

张开闭口就更严重，依据何在？安卓又不是苹果那样应用来源单一的，不像苹果把鸡蛋放在一个篮子，要么不出事，要出事，规模哪里是安卓能比？

superchenxx

Elisha 发表于 2015-9-19 16:51
迅雷躺枪了，他至少是hash的，不可能搞错的，只能说有人故意散布感染了的编译器，通过努力成功的做到市面上 ...

迅雷躺枪？
从appstore下载能用迅雷？能用迅雷下载的都是第三方链接的吧。

shahito

已下载XCode，就差买Mac的钱了

john

qratosone 发表于 2015-9-19 18:38
这年头买个Mac Mini都买不起的公司也太惨烈点了吧……

地址找到了，笑死了
http://www.zhihu.com/question/31426117

早上点开eclipse，一个早上就过去了。下午打开VS，一个下午又过去了！哈哈哈

谁黑我渣浪，你们去技术那里看看，清一色的macbook，全都自带的

当年在我狐，实在不忍心让ios开发用虚拟机去开发，所以就用部门经费买了一台mac pro。但是这种上万元的设备是需要审批的，我要避过审查，就要用其他发票顶。后来一个朋友帮我找了一万五的肯德基发票，我就贴了交上去了……过了几天，行政部门的一个MM中午叫我吃饭，我说不吃了，她说：“你们团队别吃那么多肯德基，不健康……”

沉默之声

qssk 发表于 2015-9-19 16:25
张开闭口就更严重，依据何在？安卓又不是苹果那样应用来源单一的，不像苹果把鸡蛋放在一个篮子，要么不出 ...

和应用来源有毛线关系，搞清楚这是什么情况再来讲这这话
还不知道多少程序是xcode开发了再编译到Android上去的
这事就是源头污染，肮脏的种子开不出干净的花，
前所未有的可怕手段，对整个网络生态都是致命的

沉默之声

鸡蛋灌饼 发表于 2015-9-19 11:45
你们直接把这个当红色警报吧
下一步恐怕你们就能看到有人往llvm里面加修改llvm自己的代码了。 ...

前几年安全验证还没普及的时候，若是有人修改了vs或者eclipse，那可真不得了了
也还是当年的程序们有点道德底线，至少不会去害同行