V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shixinyu
V2EX  ›  Apple

苹果官方的有关 XcodeGhost 的问题和解答

  •  2
     
  •   shixinyu · 2015-09-23 11:36:09 +08:00 · 2697 次点击
    这是一个创建于 3350 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://www.apple.com/cn/xcodeghost/

    有关 XcodeGhost 的问题和解答

    我听说了由 XcodeGhost 开发的恶意 app — 这是怎么回事?

    我们一直建议开发者使用由我们提供的免费、安全的工具,包括 Xcode ,从而确保他们为 App Store 的用户创造出安全的 app 。一些开发者下载了已被恶意软件感染的盗版 Xcode ,由此开发的 app 也同样受到感染。

    Apple 特意使用诸如 Gatekeeper 等技术,以防止安装从非 App Store 渠道下载的应用程序,和 / 或安装包括 Xcode 在内的未签名的应用程序。当开发者为了能安装类似 XcodeGhost 等恶意程序时,这些保护措施会被刻意地禁用。

    作为 Apple 向开发者提供的业界先进工具之一,以下措施可以确保软件未被篡改:

    Xcode app 有 Apple 的代码签名。
    从 Mac App Store 下载 Xcode 时,开发者的电脑系统自动对 Xcode 的代码签名会进行检查和验证。
    从 Apple Developer Program 网站下载 Xcode 时,只要 Gatekeeper 没有被禁用,默认开发者的电脑系统对 Xcode 代码签名自动进行检查和验证。

    为什么开发者会不顾用户的安全下载盗版软件?

    为了更快下载我们的开发者工具,开发者有时会从其他非 Apple 站点搜寻。

    这会对我有什么影响吗?如何得知我的设备是否受到了影响?

    我们目前没有任何信息表明这些恶意软件与任何恶意事件相关,也没有信息表明这些软件被使用在传播任何个人身份信息的用途上。

    我们目前没有看到任何客户个人身份信息受到影响,而且代码无法通过用户身份请求来获取 iCloud 或其他服务的密码。

    只要一经发现这些 app 有可能通过恶意代码开发,我们就对其进行下架处理。开发者们正在快速更新他们的 app ,以便用户使用。

    恶意代码只能提供一些基本信息,比如 app 和一般系统信息。

    从 Apps Store 下载 app 是否安全?

    我们已将由该盗版软件开发的 apps 从 App Store 中撤下,并拦截了通过该恶意软件开发的新 app 进入 App Store 。

    我们正与开发者紧密协作,以确保受到影响的 app 尽快回到 App Store 供用户使用。

    我们将在支持页面上列出受此影响的前 25 个 apps ,方便用户验证他们是否已将这些 app 更新到了最新版本。

    用户还将会收到更多信息,以便了解他们下载的某 app 是否会存在问题。一旦开发者更新了他们的 app ,用户可以通过在设备上运行更新解决存在的问题。

    我们正努力让中国的开发者可以用更快的速度下载 Xcode 测试版本。开发者也可以通过 developer.apple.com 列出的步骤来验证他们的 Xcode 是否被篡改过。

    6 条回复    2015-09-23 14:20:47 +08:00
    yksoft1
        1
    yksoft1  
       2015-09-23 11:53:47 +08:00
    问题是,如果他们用户的 .bashrc 被改过,恐怕那个验证 codesign 的命令都不再安全了
    yksoft1
        2
    yksoft1  
       2015-09-23 11:57:05 +08:00
    苹果还是应该主动提供 xcode 的 HASH 值
    shixinyu
        3
    shixinyu  
    OP
       2015-09-23 12:21:29 +08:00
    @yksoft1 可以考虑在他们的支持论坛里提交这个诉求的帖子看看苹果官方会不会有所改进。
    RqPS6rhmP3Nyn3Tm
        4
    RqPS6rhmP3Nyn3Tm  
       2015-09-23 14:12:34 +08:00 via iPad
    苹果就这么把锅给甩了?
    Gatekeeper 只验证 File Quarantine API 的应用,但是有相当多的下载工具不会这么做。
    还是 Windows 的 UAC 和 SmartScreen 安全
    pyKun
        5
    pyKun  
       2015-09-23 14:15:18 +08:00
    那 25 个应用是啥...
    LagunAPaTa
        6
    LagunAPaTa  
       2015-09-23 14:20:47 +08:00
    @pyKun 首当其冲就是 12306 和微信啦~~~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   914 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:19 · PVG 04:19 · LAX 12:19 · JFK 15:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.