XcodeGhost 可能是国内苹果领域上周最火的话题了,而且很特殊:影响大(连网易、腾讯都中招),一般老百姓又看不懂(于是写软文出身的媒体编辑们出来装逼了)。本想写篇博客的,结果连续加班到周六 + 周日 Twitter 网友聚会喝酒 …… 拖到今天写个简单版吧
怎么回事
开发者想写 App,得用到苹果的开发工具:Xcode。但是国内很多开发者不从苹果官网下载,而是跑到百度网盘之类的地方下载 Xcode。或者,不用浏览器而使用迅雷下载 Xcode。
结果,这些 “野鸡版” Xcode 被人为修改过,用它编译的 App 会被植入恶意功能。
怎么办
暂时没什么太恶劣的结果,及时更新 App 即可。实在不踏实的话就去修改密码吧,再极端点儿开启两步验证(我本人不打算开启两步验证,太麻烦了)。
苹果的审核机制没发现?
XcodeGhost 中招的 App,表现只是向服务器发送 ID、系统版本等信息。和常见的、合法的统计功能一样。所以苹果的审核机制就没把这当成病毒或者恶意软件
我要吐槽了
开发工具这种 “饭碗” 级别的东西,居然不去苹果官网下载(免费的)。居然用迅雷这种 “地球人都知道它是个流氓” 的工具下载,下载之后居然不做哈希校验直接用。
个人开发者就算了,腾讯、网易、铁道部这种级别的公司也能中招,你们的流程和管理有多混乱多不专业!而且我很奇怪的一点,微信、网易云音乐、12306 这种 App,肯定是一个团队在开发。程序员的电脑上装了乱七八糟的东西,最终编译的那台电脑也是装了迅雷和野鸡软件的机器?你们居然不是用一台绝对靠谱的专用机来做千万甚至几亿用户量级的软件的最终编译?
题外话
更离谱的是,据说,网易甚至不舍得给程序员配 Mac,用的都是黑苹果 …… 进一步验证了我 “网易是个屌丝气质公司” 的观念(看看你们新闻下面的那些评论,都什么玩意儿,还有脸拿这个评论功能说事儿)
就算再蜗牛也必须从官网下载!
吐槽深得我心。