V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
paicha
V2EX  ›  分享发现

XcodeGhost:网易云音乐、中信银行动卡空间、12306、滴滴打车、中国联通客户端

  •  1
     
  •   paicha · 2015-09-18 14:15:40 +08:00 · 10818 次点击
    这是一个创建于 3358 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2015-09-18 14:59:30 +08:00
    @orvice
    https://twitter.com/tualatrix/status/644766088815767553
    https://twitter.com/tualatrix/status/644757016582340609

    高德地图、简书、豌豆荚的开眼、网易公开课、下厨房

    @wbolor
    豆瓣阅读
    第 2 条附言  ·  2015-09-18 17:48:04 +08:00
    @iwege
    CamScanner 中文 应该是 扫描全能王。
    第 3 条附言  ·  2015-09-18 21:09:49 +08:00
    @知道创宇 分析发现
    「微信之前的某个版本也这样」
    第 4 条附言  ·  2015-09-19 09:45:53 +08:00
    79 条回复    2015-09-21 15:58:20 +08:00
    hjxx
        1
    hjxx  
       2015-09-18 14:35:02 +08:00
    哔了狗了
    pi1ot
        2
    pi1ot  
       2015-09-18 14:38:41 +08:00   ❤️ 2
    有一种狂欢的感觉
    breeswish
        3
    breeswish  
       2015-09-18 14:42:06 +08:00
    补充:还有中国联通客户端
    paicha
        4
    paicha  
    OP
       2015-09-18 14:42:35 +08:00
    @breeswish 看标题……
    wbolor
        5
    wbolor  
       2015-09-18 14:46:12 +08:00
    豆瓣阅读。。。
    ynyounuo
        6
    ynyounuo  
       2015-09-18 14:46:48 +08:00
    高德地图
    batilo
        7
    batilo  
       2015-09-18 14:47:41 +08:00
    卧槽
    getrix
        8
    getrix  
       2015-09-18 14:47:44 +08:00
    还好一个都没有。。。
    breeswish
        9
    breeswish  
       2015-09-18 14:50:51 +08:00
    @paicha sorry ,边写代码边回复写错了 :-) 想写的是高德地图。楼下已有人补充 :-)
    paicha
        10
    paicha  
    OP
       2015-09-18 14:52:25 +08:00 via iPhone
    @breeswish 😂几乎全中
    breeswish
        11
    breeswish  
       2015-09-18 14:52:54 +08:00
    @paicha 😂……
    haogefeifei
        12
    haogefeifei  
       2015-09-18 14:54:26 +08:00
    12306 !
    haogefeifei
        13
    haogefeifei  
       2015-09-18 14:55:24 +08:00
    还好 12306 没要什么权限。。
    burning
        14
    burning  
       2015-09-18 14:56:17 +08:00
    @tualatrix 继续补几个自己测试出来的名单: 1 、中国联通的手机营业厅; 2 、高德地图; 3 、简书; 4 、豌豆荚的开眼; 5 、网易公开课; 6 、下厨房…
    rming
        15
    rming  
       2015-09-18 14:56:25 +08:00
    几乎全中😂
    tracyone
        17
    tracyone  
       2015-09-18 15:01:42 +08:00 via Android
    中大招
    camillo
        18
    camillo  
       2015-09-18 15:04:06 +08:00
    简直就像狂欢一样……
    chengzhoukun
        19
    chengzhoukun  
       2015-09-18 15:08:20 +08:00   ❤️ 3
    有没有人查查看国内下载渠道的 Android SDK 和 Android Studio 有没有问题
    wangyifei6817
        20
    wangyifei6817  
       2015-09-18 15:11:52 +08:00
    还好我坚持官方渠道..尼玛..
    noir
        21
    noir  
       2015-09-18 15:18:43 +08:00
    那么 我要不要把这些 APP 删掉?
    paicha
        22
    paicha  
    OP
       2015-09-18 15:23:12 +08:00 via iPhone
    @noir 该泄漏的已经泄漏了…上传地址也停止解析了。
    noir
        23
    noir  
       2015-09-18 15:24:12 +08:00
    @paicha 太口怕了!都会泄露些什么?我中信银行客户端输入密码也会被传走吗?我刚昨天输了 我了个去!
    jiongxiaobu
        24
    jiongxiaobu  
       2015-09-18 15:24:39 +08:00 via Android
    paicha
        25
    paicha  
    OP
       2015-09-18 15:26:37 +08:00 via iPhone
    @jiongxiaobu 只是 iPhone 和 app 的基本信息。
    est
        26
    est  
       2015-09-18 15:31:04 +08:00
    第三轮测试结果如下: 6 、下厨房; 7 、 51 卡保险箱; 8 、同花顺; 9 、中信银行动卡空间
    philomuzzi
        27
    philomuzzi  
       2015-09-18 15:31:18 +08:00
    几乎全中。
    wogong
        28
    wogong  
       2015-09-18 15:36:25 +08:00 via iPhone
    Haha ,大部分都有了,真是无语,从官方下这么困难么
    v2what
        29
    v2what  
       2015-09-18 15:40:05 +08:00
    还好我都是官网下载,更不会用迅雷下载正经软件。
    sb
        30
    sb  
       2015-09-18 15:45:22 +08:00
    “啊 你妈炸了” 这就是我的感想。。。。
    hloong
        31
    hloong  
       2015-09-18 15:55:24 +08:00
    AppStore 下载 XCode 也要不了多长时间吧!
    Tink
        32
    Tink  
       2015-09-18 16:08:56 +08:00 via iPhone
    目前只是搜集 app 和设备的信息
    trepwq
        33
    trepwq  
       2015-09-18 16:20:33 +08:00 via iPhone
    我觉得苹果该做点什么了
    lsmgeb89
        34
    lsmgeb89  
       2015-09-18 16:23:29 +08:00
    下载后都不校验一下的嘛,都这么懒。
    Phariel
        35
    Phariel  
       2015-09-18 16:24:08 +08:00 via Android   ❤️ 1
    作为 android 用户我可以偷偷笑一下么
    (≧∇≦)
    boro
        36
    boro  
       2015-09-18 16:28:15 +08:00 via iPhone
    iOS 内置的地图是高德会有影响么
    paicha
        37
    paicha  
    OP
       2015-09-18 16:29:28 +08:00 via iPhone
    @boro 不会
    yylzcom
        38
    yylzcom  
       2015-09-18 16:39:29 +08:00   ❤️ 3
    @Phariel 安卓用户都是光明正大地获取这些基本信息的,同作为安卓用户我笑不出来
    yylzcom
        39
    yylzcom  
       2015-09-18 16:39:57 +08:00
    @yylzcom 第一个 安卓用户-->安卓应用
    blacktulip
        40
    blacktulip  
       2015-09-18 16:59:37 +08:00
    @Phariel 乃们安卓这些是常态,不叫中招
    revlis7
        41
    revlis7  
       2015-09-18 17:02:59 +08:00
    Apple 赚了这么多钱,怎么就从来没想过改善下网络环境呢, OSX 网络恢复慢成狗一样,又逼着人家用第三方的 XCODE ,自己的官网都是卡卡的,费了那么多钱做的主页宣传视频也不知道国内有多少人能够流畅的从头看到尾过……
    holong2000
        42
    holong2000  
       2015-09-18 17:10:32 +08:00 via iPhone
    @revlis7 再慢能有多慢?两个小时够不够?下载后校验一下不行吗?

    就别再找你有了。用过 windows 的都知道这些基本常识,苹果开发者的安全意识如此之差!
    wethen
        43
    wethen  
       2015-09-18 17:14:52 +08:00
    其实我最好奇的是:
    这里好多人把锅扔给病毒开发者、网易、墙等等,他们确实有错,难道苹果就一点错都没有?
    App Store 的审核不是号称严谨么,难道只审核内容,对 App 的安全性完全没有要求?
    revlis7
        44
    revlis7  
       2015-09-18 17:21:49 +08:00
    @holong2000 我给谁找理由了?我哪里说开发者就没有问题了?类似的事故往往都是多方面作用的结果,在讨论某个节点的问题时,不能就事论事吗?
    holong2000
        45
    holong2000  
       2015-09-18 17:21:50 +08:00 via iPhone
    @wethen 你自己的 app 有漏洞,叫苹果来擦屁股?
    holong2000
        46
    holong2000  
       2015-09-18 17:23:32 +08:00 via iPhone
    @revlis7 这问题唯一的原因就是苹果开发安全意识太差。不用找其他原因
    iwege
        47
    iwege  
       2015-09-18 17:26:52 +08:00   ❤️ 2
    增加一个
    CamScanner 中文 应该是 扫描全能王。
    wezzard
        48
    wezzard  
       2015-09-18 17:41:14 +08:00 via iPhone
    @iwege 那 CamCard 應該也中招了,就是老羅在堅果發佈會上推的全能名片掃描王
    cxl008
        49
    cxl008  
       2015-09-18 17:57:31 +08:00
    12306 也中了。。。唉
    shippo7
        50
    shippo7  
       2015-09-18 19:51:39 +08:00 via iPhone
    @wethen App Store 只审核编译后的文件,不看源代码,只要使用的 API 不违法规定, App 做什么都管不了
    Smilecc
        51
    Smilecc  
       2015-09-18 19:52:34 +08:00
    微信
    yy77
        52
    yy77  
       2015-09-18 20:09:56 +08:00 via iPhone
    报告苹果让这些 app 全部下架!
    imn1
        53
    imn1  
       2015-09-18 20:11:02 +08:00
    莫非是有人想借用人民的力量 D 掉那个服务器, 23333
    laoyur
        54
    laoyur  
       2015-09-18 20:23:08 +08:00
    @holong2000 “这问题唯一的原因就是苹果开发安全意识太差。不用找其他原因”

    说的好正义凛然的样子,说的好像国内其他行业的开发者的安全意识都很强一样
    安全意识差是一方面的原因,谁都无法否认,可到了您口中,就成了“唯一原因”了

    不是每个开发者的网络环境都那么好的,而且,这里还是拥有大墙的兲朝。如果我没记错, Xcode 在自动更新过程中是不能使用的,而苦逼的程序员到了公司后,能有那么大段的时间来浪费等待 Xcode 更新完?更有甚者,有些情况下,特么的 MAS 的软件就是不能断点续传!一旦出错立马回滚到 0 !
    如果此时有个同事说,我这有个新版的 Xcode.dmg ,我看 80%以上的开发者会欣然接受吧

    我不是在为自己的错误找托词,我们的确安全意识差,但也请客观地分析一下实际情况,万事都别说得那么绝对。
    billlee
        55
    billlee  
       2015-09-18 20:33:56 +08:00
    搞不明白,这些软件,要发布的版本都在开发机上编译的吗?难道没有专用的编译服务器
    holong2000
        56
    holong2000  
       2015-09-18 21:04:18 +08:00
    @laoyur 没错,我认为这就是唯一的重要原因,其它全部都是次要的,这是苹果开发者和用户长期漠视安全性的结果。 xcode 并不是下载不了,只是下载慢而已,而且即使你下载的第三方源,较难一下也很容易。这样了,你还能怪谁?

    因为中招的人足够多,足够大牌,就能怪的别人头上?
    rainy3636
        57
    rainy3636  
       2015-09-18 21:05:46 +08:00
    估计被偷得内裤都没了
    fengxing
        58
    fengxing  
       2015-09-18 21:07:32 +08:00
    @wangyifei6817 这就是官方渠道下载的 app 中招的....
    chmlai
        59
    chmlai  
       2015-09-18 22:03:49 +08:00
    微信之前的版本都中招了
    Luzifer
        60
    Luzifer  
       2015-09-18 22:09:13 +08:00
    曹操!
    Sleebi
        61
    Sleebi  
       2015-09-18 22:09:36 +08:00 via Android
    中一个其实就够了
    beimenjun
        62
    beimenjun  
       2015-09-18 22:17:04 +08:00
    @chmlai 6.2.3 没有问题,最新的 6.2.6 也没有问题,我觉得微信这个是个谣传。
    sixgod
        63
    sixgod  
       2015-09-18 22:46:24 +08:00
    @noir 不放心的话,先更改密码,暂停使用手机吧
    chmlai
        64
    chmlai  
       2015-09-18 23:31:02 +08:00
    @beimenjun 6.2.5 微信自己发公告了
    gamingcat1234
        65
    gamingcat1234  
       2015-09-18 23:54:18 +08:00
    @holong2000
    这次事件苹果有不可推卸的责任。审核责任先不说,官方开发者站点在国内那个下载速度,想要 2 个小时下完 xcode ?别开玩笑了,我有一次下载 command line tools 一整天都没能成功。网络状况分好坏,坏的时候整个 xcode 要两个礼拜下完还差不多。
    venmos
        66
    venmos  
       2015-09-19 03:35:29 +08:00
    Xcode 官方 Store 下载从来都是跑满速,什么叫下不下来?
    cattail
        67
    cattail  
       2015-09-19 07:51:00 +08:00 via Android
    闭关锁国万岁
    crystone
        68
    crystone  
       2015-09-19 08:31:51 +08:00
    @venmos 你满速不是每个人都能满速
    wdlth
        69
    wdlth  
       2015-09-19 08:38:37 +08:00
    几个 CDN 我都是用 dnsmasq 强行指定节点
    Laforet
        70
    Laforet  
       2015-09-19 09:00:16 +08:00
    @shippo7

    关键还是审核时间太短,这种问题不做浸泡测试很难发现。
    groot
        71
    groot  
       2015-09-19 09:17:44 +08:00
    @haogefeifei 如果能拿到你的以及你保存的乘车人,已经不需要权限了吧
    Dashit
        72
    Dashit  
       2015-09-19 09:44:59 +08:00
    qiuai
        73
    qiuai  
       2015-09-19 10:45:15 +08:00
    列表里出现了"微信"..........
    zhujinliang
        74
    zhujinliang  
       2015-09-19 10:51:53 +08:00
    @wdlth 求 CDN 强行指定节点 教程,需要优化哪些域名,如何获取可用 IP ?谢谢
    xuc
        75
    xuc  
       2015-09-19 10:53:01 +08:00
    微信 6.2.5
    LINAICAI
        76
    LINAICAI  
       2015-09-19 11:02:32 +08:00
    今天刚更新 xcode7 ,只用了几十分钟,我家里 12M 独享带宽,我想知道网易到底有多穷啊,上传 app 的负责人吧,居然还用网盘下载的 xcode ,这尿性多让人笑翻~不吐不快啊
    wdlth
        77
    wdlth  
       2015-09-19 11:16:43 +08:00   ❤️ 1
    @zhujinliang
    我是加了.edgesuite.net ,尽量选取直连或者直接选港澳台的节点。
    重要的几个.edgekey.net (比如微软、 Apple 、 IBM 、 Intel 、 EA 那些壕公司的 https 域名)
    Steam 的数个 CDN 域名( HighWinds 、 Footprint 等, G 胖的预算……)
    edge cast cdn 这类被污染的 CDN 域名
    还有 Fastly 、 Amazon 等 CDN 受到照顾的部分域名解析结果

    获取 IP 的话就是用 DNS 去查询,或者用各种在线多地 Ping 、 DNS 测试工具,甚至是扫描 ASN 下的所有 IP 。

    现在上个网搞得像谍战一样……
    kqz901002
        78
    kqz901002  
       2015-09-19 12:04:23 +08:00
    @revlis7 苹果说,怪我咯,天朝网络环境就是这么坑爹
    mockee
        79
    mockee  
       2015-09-21 15:58:20 +08:00
    豆瓣阅读 iOS App 2.1.1 昨天已修复上架
    https://itunes.apple.com/cn/app/id560068813?mt=8
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3274 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 12:17 · PVG 20:17 · LAX 04:17 · JFK 07:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.