V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yksoft1
V2EX  ›  Apple

苹果对本次 XCode 攻击事件的可能处理

  •  
  •   yksoft1 · 2015-09-19 00:00:25 +08:00 · 7349 次点击
    这是一个创建于 3355 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1 、危机公关,洗清各方责任;
    2 、向美中两国警察报案;
    3 、临时下架可能被木马感染的所有应用(由于木马特征明显,这应该不难)
    4 、修改 App 审查流程,审查类似恶意代码

    55 条回复    2015-09-20 11:39:29 +08:00
    moooookey
        1
    moooookey  
       2015-09-19 00:02:49 +08:00   ❤️ 5
    5 、假装什么都没看见
    abelyao
        2
    abelyao  
       2015-09-19 00:03:40 +08:00
    其实我觉得更可怕的是刚刚看到的这个: http://drops.wooyun.org/mobile/4998
    《在非越狱的 iPhone 6 (iOS 8.1.3 ) 上进行钓鱼攻击 (盗取 App Store 密码)》
    testisitok
        3
    testisitok  
       2015-09-19 00:05:03 +08:00 via Android
    苹果好安全啊!安卓好危险啊!啪啪啪!
    yksoft1
        4
    yksoft1  
    OP
       2015-09-19 00:05:23 +08:00
    @moooookey 这不太可能,微信和 12306 这样的应用中招后,苹果自己不出来承担责任,中国 ZF 可不答应
    shippo7
        5
    shippo7  
       2015-09-19 00:06:35 +08:00
    苹果也很难防范这类恶意行为, App 向网络传输数据很正常,很难定位特征。也没办法限制非官方 IDE ,开发者可以在非官方 IDE 上开发,也可以使用非官方的编译器。
    yksoft1
        6
    yksoft1  
    OP
       2015-09-19 00:10:47 +08:00
    @moooookey 不过有一种可能,如果嫌疑人是 NSA 相关的人,苹果的内部调查可能会被迫中止,事情不了了之也不是没有可能
    squid157
        7
    squid157  
       2015-09-19 00:13:00 +08:00 via iPhone
    不是据说这次的有害 Xcode 没被 Gatekeeper 拦截提示么 这个问题很严重啊
    yksoft1
        8
    yksoft1  
    OP
       2015-09-19 00:15:25 +08:00
    @squid157 是这样的, gatekeeper 无法检查本身就已经剥离签名,并且用不支持 File Quarantine ,或者非 Mac OS X 操作系统下的下载工具下载的文件中包含的应用程序。它是防君子而不防小人的。
    paicha
        9
    paicha  
       2015-09-19 00:25:00 +08:00
    刚好过几天习奥会,会讨论网络安全问题。
    sunyang
        10
    sunyang  
       2015-09-19 00:44:10 +08:00   ❤️ 1
    @testisitok 安卓只是大家都不说罢了,如果安卓的开发工具被挂马,按照国内这个现状(官方东西被墙了大部分),大量开发人员使用风险未知的汉化版甚至破解版,各种来历不明甚至呗重新打包的第三方插件,碎片化严重,没地方可以下架有问题的产品(甚至某些下载平台里有大量被添加了恶意脚本未被发现的应用),权限管理混乱,各种 App 几乎都要读你的通讯录等等之类的问题细思恐极。
    所以出问题,先别急着幸灾乐祸,先安利自己朋友改密码才是王道。
    至于你肯定问得为什么安卓方面没有被曝光类似问题。我觉得吧,有下面几种可能。
    1 ,安卓资料好弄,没必要下这么本钱去研究这种技术。
    2 ,人咬狗才叫新闻。
    以上。。。
    sunyang
        11
    sunyang  
       2015-09-19 00:47:35 +08:00   ❤️ 1
    @yksoft1 往根里深究还是 ZF 自己建的墙,导致苹果服务使用不变导致一系列问题,这种事最大的可能就是不了了之。在非猿类圈,能掀起来的波澜没一个明星的花边大。
    Luzifer
        12
    Luzifer  
       2015-09-19 00:48:18 +08:00
    ForgotFun
        13
    ForgotFun  
       2015-09-19 00:50:48 +08:00
    这次事件只能说不简单的,一个网站可以抗住国内多么多 APP 的流量,不是一般技术能达到的.我不相信是个人行为,后面可能有更深的东西可以挖掘.
    camus
        14
    camus  
       2015-09-19 01:01:43 +08:00   ❤️ 1
    以后黑产是不是又有新的思路了
    运营商在接入端做各个 IDE 、 SDK 的污染缓存,只要是从官方网站的下载全部替换成污染的下载
    这样就算代码写的再干净,编译时候加进去的东西很难被察觉……
    mongodb
        15
    mongodb  
       2015-09-19 01:06:50 +08:00
    来,都改成脚本语言吧 [微笑]
    mengzhuo
        16
    mengzhuo  
       2015-09-19 01:09:43 +08:00 via iPhone
    @camus 你当数字签名是白长的么
    tyfulcrum
        17
    tyfulcrum  
       2015-09-19 01:22:31 +08:00
    @mengzhuo 就这回的情况看,难说。。。。
    ericls
        18
    ericls  
       2015-09-19 01:26:41 +08:00
    再过几天

    各国政府为了网络安全

    纷纷表示限制公民(或居民)互联网活动
    RqPS6rhmP3Nyn3Tm
        19
    RqPS6rhmP3Nyn3Tm  
       2015-09-19 01:43:05 +08:00
    钓鱼看起来傻逼,但是效率比社工高得多。
    我一个半吊子写了五行 Python 就搞到了 Mac 用户的密码,普通用户真的很难分清什么是钓鱼什么不是。
    所以啊,苹果赶紧搞一个类似 UAC 或 SmartScreen 一样的东西。 OS X 安全性落后 Windows 太多了……
    terence4444
        20
    terence4444  
       2015-09-19 03:00:59 +08:00
    @abelyao 这个不要去搞 XX 助手,不装 Profile ,不装别人提供的开发应用,所有应用从 Appstore 下载就不会出现这样的问题。
    endosome
        21
    endosome  
       2015-09-19 03:53:59 +08:00
    3 and 4
    20015jjw
        22
    20015jjw  
       2015-09-19 04:38:55 +08:00
    所以 app store 上面的那些软件可能都带有这个木马?
    SquirrelMAN
        23
    SquirrelMAN  
       2015-09-19 06:20:50 +08:00
    苹果会教我们从正规渠道下载
    ffffwh
        24
    ffffwh  
       2015-09-19 08:19:28 +08:00
    明天 WP 大卖?
    wdlth
        25
    wdlth  
       2015-09-19 08:52:57 +08:00
    6 、自己放到百度网盘……
    7 、大出血接入 ChinaCache 、网宿和快网等国内 CDN
    8 、回应为何移动、铁通、长宽等运营商发现的用户发现自己下的还是旧的……
    hr6r
        26
    hr6r  
       2015-09-19 09:02:38 +08:00
    已经下架了我的几个 app...
    squid157
        27
    squid157  
       2015-09-19 09:15:50 +08:00 via iPhone
    @yksoft1 要这么设计,还真是*gate*keeper ,看大门的啊。。
    leloext
        28
    leloext  
       2015-09-19 09:16:39 +08:00
    在某人访美前爆这件事情,真是巧合。
    dotpig
        29
    dotpig  
       2015-09-19 09:36:08 +08:00   ❤️ 1
    苹果要处理什么?
    1 、在 xcode 里面添加自己的 Framework 本来就是被允许的,你甚至都不用硬要添加到 xcode.app 的目录中,只要在编译器中指定路径就可以。
    2 、基于第一条,类似这次的事件,苹果根本没法预防,它没有修改任何苹果的文件。然后添加的文件苹果靠什么来判断是开发者自己需要的,还是别人添加的,是恶意的还是善意的?
    3 、有人总在说从不明源下载 xcode 的开发者情有可愿,因为苹果的服务器太慢。拜托,这次受影响的恰恰是那些大公司,内部对开发工具没有管理?不会唯一一个管理源从官方下载,然后内部分发?
    moooookey
        30
    moooookey  
       2015-09-19 10:33:24 +08:00
    @yksoft1 所以呢,牵扯上亿用户的事件,苹果现在可有回应?
    KillPaul
        31
    KillPaul  
       2015-09-19 10:36:17 +08:00
    同上,并不觉得苹果有责任。
    Midnight
        32
    Midnight  
       2015-09-19 10:59:12 +08:00
    方校长躺枪啊~ 你们说对不对?
    yksoft1
        33
    yksoft1  
    OP
       2015-09-19 12:14:53 +08:00
    @moooookey 苹果已经走了流程 3 和 4 。见 http://www.v2ex.com/t/221936
    Laforet
        34
    Laforet  
       2015-09-19 12:41:43 +08:00   ❤️ 1
    @camus

    当年有个笑话,黑产人员用 delphi 写木马结果被盗版 delphi 编译器二次挂马....

    https://nakedsecurity.sophos.com/2009/08/19/w32induca-spread-delphi-software-houses/
    yksoft1
        35
    yksoft1  
    OP
       2015-09-19 12:47:38 +08:00
    @Laforet 那个 sysconst.dcu 病毒本身是源码形式,可以自己修改加入更强的破坏性内容,比如我就见过在某一天自动删除全硬盘.pas 文件的
    coolicer
        36
    coolicer  
       2015-09-19 13:13:42 +08:00
    这应该是赤果果的犯罪吧,有动机有行动。
    donotgo
        37
    donotgo  
       2015-09-19 14:16:19 +08:00
    @moooookey 低端黑,没更新修复的 App 都下架了好吧
    huobazi
        38
    huobazi  
       2015-09-19 15:45:44 +08:00
    大大要去访美了,这幺蛾子是要干嘛?
    Borden
        39
    Borden  
       2015-09-19 16:06:47 +08:00
    这种事情 app 审查没法审吧,从苹果的角度看, app 的行为都是合规的啊。要是审核连接特定服务器的话,换个服务器不就没事了?那后续有变种怎么办?苹果的审查肯定不会这么蠢的吧
    fengxing
        40
    fengxing  
       2015-09-19 17:03:31 +08:00
    @testisitok 安卓获取手机识别码几乎是个 app 都有的权限,这玩意还用爆出来?
    yksoft1
        41
    yksoft1  
    OP
       2015-09-19 17:45:54 +08:00
    @Borden 苹果审核是不需要提交源代码的,只要扫描器没有扫出禁止使用的系统调用、漏洞 exploit 等玩意,里面逻辑怎么样只要 UI 上看不出来都没问题
    9hills
        42
    9hills  
       2015-09-19 17:49:59 +08:00
    lz 好像就说中了
    3 、临时下架可能被木马感染的所有应用(由于木马特征明显,这应该不难)

    不过这个也是应该的。 124 就是臆想了,甚至腾讯安全团队爆料在 9.16 就将漏洞信息汇报给苹果官方( http://security.tencent.com/index.php/blog/msg/96 ),但苹果直到网络上大规模爆料才开始下架应用。
    yksoft1
        43
    yksoft1  
    OP
       2015-09-19 18:04:01 +08:00
    @9hills 既然能要求带木马的应用下架,又能判断重新上架的还有没有木马,自然 4 是很符合逻辑的
    9hills
        44
    9hills  
       2015-09-19 18:28:12 +08:00 via iPhone
    @yksoft1 这次下架只是针对这一个木马,但换个名字苹果就识别不出来了。
    marvinwilliam
        45
    marvinwilliam  
       2015-09-19 18:28:14 +08:00
    我们用友盟啥的会不会正好被第四个 bingo 啊?
    yksoft1
        46
    yksoft1  
    OP
       2015-09-19 18:41:06 +08:00
    @9hills
    @marvinwilliam
    我感觉苹果迟早会开始分析各种广告联盟插件的
    Borden
        47
    Borden  
       2015-09-19 19:04:11 +08:00
    @yksoft1 我知道啊,我说的就是这个意思啊!
    cxl008
        48
    cxl008  
       2015-09-19 21:33:12 +08:00
    12306 已经被下架了
    yksoft1
        49
    yksoft1  
    OP
       2015-09-19 21:46:47 +08:00
    @cxl008 还好我备份了 clutch 版的 ipa
    cxl008
        50
    cxl008  
       2015-09-19 21:52:09 +08:00
    @yksoft1 正在铁道部 fix bug 囧。。。。。。。。
    Obelly
        51
    Obelly  
       2015-09-19 22:00:20 +08:00
    苹果躺枪么。
    不就是贵国网络墙墙墙,弄得 store 慢慢慢,相关人员懒懒懒,玩个 cache 假假假。
    可能导致 appstore 隔离简体中文区,自己玩去……
    dd99iii
        52
    dd99iii  
       2015-09-19 23:37:03 +08:00 via iPhone
    中国有一句话叫,闷声发大财
    honeycomb
        53
    honeycomb  
       2015-09-20 02:25:35 +08:00
    @camus 一个全程 HTTPS 直接搞定
    @yksoft1 iOS9 已经开始允许屏蔽广告的 Extension 上架了

    问题是,能屏蔽广告的工具本身是通用屏蔽工具,屏蔽追踪并不是麻烦事
    m0yBPjyX3475syS4
        54
    m0yBPjyX3475syS4  
       2015-09-20 03:27:16 +08:00
    yksoft1
        55
    yksoft1  
    OP
       2015-09-20 11:39:29 +08:00
    @dd99iii Cook: 美国的 NSA ,比这黑客不知道高到哪里去了,我和他们谈笑风生
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1351 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 17:25 · PVG 01:25 · LAX 09:25 · JFK 12:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.