TGFC Lifestyle - Powered by Discuz! Board

标题: XcodeGhost作者凌晨现身微博并公开源码称只是实验项目 [打印本页]

作者: rover 时间: 2015-9-19 09:01 标题: XcodeGhost作者凌晨现身微博并公开源码称只是实验项目

XcodeGhost事件的爆出着实让全国的iOS应用开发者和用户吓出一身冷汗，今天凌晨4:40分，该事件的始作俑者以@XcodeGhost-Author的身份在新浪微博贴出致歉声明，称其只是一个实验性项目，并没有任何包含威胁性的行为。并公开了源码，从源码看可信度较高。微博全文如下：

微博原文访问入口:

http://weibo.com/u/5704632164

"XcodeGhost" Source 关于所谓”XcodeGhost”的澄清

首先，我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验，没有任何威胁性行为，详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost

所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现：修改Xcode编译配置文本可以加载指定的代码文件，于是我写下上述附件中的代码去尝试，并上传到自己的网盘中。

在代码中获取的全部数据实际为基本的app信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外，没有获取任何其他数据。需要郑重说明的是：出于私心，我在代码加入了广告功能，希望将来可以推广自己的应用（有心人可以比对附件源代码做校验）。但实际上，从开始到最终关闭服务器，我并未使用过广告功能。而在10天前，我已主动关闭服务器，并删除所有数据，更不会对任何人有任何影响。

愿谣言止于真相，所谓的"XcodeGhost"，以前是一次错误的实验，以后只是彻底死亡的代码而已。

需要强调的是，XcodeGhost不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。

再次真诚的致歉，愿大家周末愉快。

作者: oversleep 时间: 2015-9-19 09:05

posted by wap, platform: iPhone
可以抓人了

作者: arex 时间: 2015-9-19 09:09

各大互联网公司可以挖人了？

作者: xanver 时间: 2015-9-19 09:26

posted by wap, platform: SONY Xperia Z2
依据什么抓人？

作者: shiningfire 时间: 2015-9-19 09:26

作者: dmzzz 时间: 2015-9-19 09:33

会不会只是那些互联网公司们的危机公关？假借那个所谓的“作者”之口说，虽然我们的产品有漏洞但是你们放心没啥损失……

作者: Tobar 时间: 2015-9-19 09:45

posted by wap, platform: One Plus One
谣言止于真相，喷了

作者: FoxfoO 时间: 2015-9-19 09:58

posted by wap, platform: iPhone
既然有源代码，对比一下应该能知道是不是事实了吧？

作者: tyfsam 时间: 2015-9-19 10:05

posted by wap, platform: 华为
提醒果粉苹果有严重安全隐患，不是挺好

作者: ueol 时间: 2015-9-19 10:33

posted by wap, platform: iPhone
XcodeGhost 火了

作者: 532 时间: 2015-9-19 10:42

引用:

原帖由 oversleep 于 2015-9-19 09:05 发表
posted by wap, platform: iPhone
可以抓人了

先把那些第三方下干活工具的傻逼程序猿抓起来么

作者: chronicle1st 时间: 2015-9-19 10:44

无解了，怎么证明这个作者是真货呢。

如果没有司法部分介入，根本不可能知道。

作者: 長瀬湊 时间: 2015-9-19 11:15

会不会有别有用心的人把源代码下载下来加入真正有威胁的代码

作者: lrj2u 时间: 2015-9-19 11:21

加了也没用，现在大部分公司经过此事都学精了，会去官网下载。
重要的是，用迅雷下载的时候，都勾上“只从原地址下载”吧。

作者: qhlixpfh 时间: 2015-9-19 11:32

不是说用迅雷下的在官网也有问题吗

作者: newshadow08 时间: 2015-9-19 11:36

喷了，你说删除所有数据我就可以相信了？？？？

作者: tainey 时间: 2015-9-19 11:38

posted by wap, platform: iPhone

引用:

原帖由 @xanver 于 2015-9-19 09:26 发表
依据什么抓人？

莫须有

作者: dorn 时间: 2015-9-19 11:59

发个声明就想免抓？？

作者: cf3b5 时间: 2015-9-19 12:00

posted by wap, platform: iPhone

引用:

原帖由 @lrj2u 于 2015-9-19 11:21 发表
加了也没用，现在大部分公司经过此事都学精了，会去官网下载。
重要的是，用迅雷下载的时候，都勾上“只从原地址下载”吧。

喷了，很明显你没有理解问题的原因

作者: heavemnade 时间: 2015-9-19 12:18

posted by wap, platform: iPhone
谁信谁傻逼

作者: craZyFeFe 时间: 2015-9-19 12:32

posted by wap, platform: iPhone
确实可以抓人了，这都自己认罪了

作者: mieumieu 时间: 2015-9-19 12:43

posted by wap, platform: Android
我只知道xcode要从appstore下载，如果码农都像我这样就没那么多劳什子了

作者: wangmax 时间: 2015-9-19 13:01

比较无语，ios体系无法攻破，结果xcode被攻破了。
苹果公司真是够烂的，对xcode没有采取在线校验的方式来防止ide被篡改。
应该在Archive之前，先强制连接官网作在线校验的。

作者: wangmax 时间: 2015-9-19 13:03

即便官网下载的xcode，能保证今后不被病毒入侵？

作者: BR 时间: 2015-9-19 13:09

posted by wap, platform: Android
苹果有的地方绝对下限，之前icloud艳照门不就因为icloud密码可以无限次重试导致暴力破解密码么，结果最后苹果没事谷歌反而因为搜索引擎的关系被受害明星告了也是让我屎尿未及

作者: 阿毛 时间: 2015-9-19 13:13

posted by wap, platform: iPhone
不能相信。

作者: Alloyo 时间: 2015-9-19 13:41

posted by wap, platform: iPhone
首先作者有没有主动散布这个修改过的xcode

如果有的确可以抓起来，甚至会被苹果起诉

就像番茄花园这些搞修改xp的，微软搞过他们

xcode虽然是免费软件，但不是无版权软件
如果加入盈利的代码，肯定可以告倒判刑

作者: 国家重点型号 时间: 2015-9-19 13:57

posted by wap, platform: MAC OS X

引用:

原帖由 @arex 于 2015-9-19 09:09 发表
各大互联网公司可以挖人了？

我觉得这不是一个独立的小开发者能做出来的。
微信、云音乐几个亿的POST请求，服务器挂在亚马逊上，存储和流量费用每个月几十万刀，我不认为是这个“出于实验目的”的开发者做出来的。

本帖最后由国家重点型号于 2015-9-19 14:02 通过手机版编辑

作者: casiosushi 时间: 2015-9-19 15:07

posted by wap, platform: iPhone
抓起来突突

作者: lasttime 时间: 2015-9-19 15:24

posted by wap, platform: One Plus One
不是说这个人是360的么？

作者: beterhans 时间: 2015-9-19 15:29

posted by wap, platform: iPad

引用:

原帖由 @wangmax 于 2015-9-19 13:03 发表
即便官网下载的xcode，能保证今后不被病毒入侵？

没有任何东西能保证不被入侵

作者: Alloyo 时间: 2015-9-19 15:35

posted by wap, platform: Firefox

引用:

原帖由 @beterhans 于 2015-9-19 15:29 发表
没有任何东西能保证不被入侵

呵呵

道高一尺,魔高一丈

魔高一尺,道高一丈

作者: LTFYH 时间: 2015-9-19 20:06

想想看为啥这个会传播这么广，还不就是国内下苹果的东西太慢。。。。

作者: chocoboplus 时间: 2015-9-19 20:08

posted by wap, platform: iPhone
嘿嘿

作者: 小文 时间: 2015-9-19 20:12

posted by wap, platform: Chrome
不信+1

整个事情干得很干净很专业，明显是有精密的预谋策划，绝非个人玩票。公开的源码估计也只是干净版，脏把戏都删了。

作者: otz 时间: 2015-9-19 20:21

posted by wap, platform: SONY Xperia Z3
逗你玩。

作者: kives 时间: 2015-9-19 20:58

网易、微信这些傻掉居然不去报警？要不周一我去跟我们领导建议下我们去报警算了，搞个新闻上下头条

作者: lionheart007 时间: 2015-9-19 21:03

难怪前一段时间经常发现弹出窗口叫重新输入appstore密码，估计危险了

作者: 去日留痕 时间: 2015-9-19 22:19

posted by wap, platform: Firefox

引用:

原帖由 @lionheart007 于 2015-9-19 21:03 发表
难怪前一段时间经常发现弹出窗口叫重新输入appstore密码，估计危险了

悲剧了

作者: DarthVadar 时间: 2015-9-19 23:01

posted by wap, platform: iPhone

引用:

原帖由 @BR 于 2015-9-19 13:09 发表
苹果有的地方绝对下限，之前icloud艳照门不就因为icloud密码可以无限次重试导致暴力破解密码么，结果最后苹果没事谷歌反而因为搜索引擎的关系被受害明星告了也是让我屎尿未及

虚拟内存马上告你洗脚水喝多了

作者: B38 时间: 2015-9-20 07:55

posted by wap, platform: iPhone

引用:

原帖由 @lionheart007 于 2015-9-19 21:03 发表
难怪前一段时间经常发现弹出窗口叫重新输入appstore密码，估计危险了

我也是啊……

作者: aso 时间: 2015-9-20 09:31

posted by wap, platform: iPhone
前些天桌面上时常弹出个App Store的登录窗口来叫你输入密码。。

你国众流氓为攻破苹果这个堡垒已经无所不用其极了。

作者: lastescaper 时间: 2015-9-20 09:33

posted by wap, platform: 华为
md，之前谁说ios安全的

作者: 小文 时间: 2015-9-20 09:52

posted by wap, platform: Chrome

引用:

原帖由 @aso 于 2015-9-20 09:31 发表
前些天桌面上时常弹出个App Store的登录窗口来叫你输入密码。。

你国众流氓为攻破苹果这个堡垒已经无所不用其极了。

桌面上弹的应该是正常的，app里弹的可能不正常

作者: wpang 时间: 2015-9-20 11:00

posted by wap, platform: iPhone
怎么还没司法机关参与调查呀
没人报案么
难道国有项目

作者: achen126 时间: 2015-9-20 13:50

posted by wap, platform: iPhone

引用:

原帖由 @B38 于 2015-9-20 07:55 发表
我也是啊……

我也是啊......

作者: u571 时间: 2015-9-20 13:55

连微信这个几亿在线用户的应用都能中这个后门，要是还有人相信这事仅仅只是所谓开发者用迅雷下载不干净开发工具这脑子真是蠢的无可救药

作者: futurerui 时间: 2015-9-20 18:50

今天开启二次认证了应该没事了吧？

作者: aso 时间: 2015-9-20 19:18

引用:

原帖由小文于 2015-9-20 09:52 发表
posted by wap, platform: Chrome
桌面上弹的应该是正常的，app里弹的可能不正常

应该不正常。帐号登录得好好的，又没干任何需要重新输入密码的事，为什么会多次跳出窗口？

作者: finalx 时间: 2015-9-20 23:03

posted by wap, platform: iPhone
个人试验性项目，真有钱，真任性。
呵呵

作者: reallongbow 时间: 2015-9-20 23:48

posted by wap, platform: Windows
怪不得，这几天老弹出appstore的输入窗口
ls，突然想到会不会是tg版的棱镜计划，代号XcodeGhost

作者: 囧rz-- 时间: 2015-9-21 01:28

影响如此广，且被影响厂商如此之大，居然一纸声明就免去一切责任，厂商也不闻不问。你跟我说没有政治在背后作怪我真不信

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)