V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yksoft1
V2EX  ›  信息安全

我开始怀疑 XCodeghost 的感染过程了

  •  
  •   yksoft1 · 2015-09-21 13:42:33 +08:00 · 6331 次点击
    这是一个创建于 3361 天前的主题,其中的信息可能已经有所发展或是发生改变。

    按理说,网易、腾讯等大厂不可能没有一个软件的采购管理制度,开发者自己下载盗版并用其开发绝对是违反公司规定的。
    我的感觉是,这次问题不是开发者自己下载盗版,而是中招的大厂都把其使用的 Mac 或者 Hac 的维护外包给了同一家业内有名的专门维护 Mac 的公司,然后他们在更新 XCode 的时候或是直接装上了网上搞来的盗版,或是本身就和 iOS/OS X 黑产团体有联系。
    而不管事实是哪一种情况,既然 XCode 用了盗版,开发途中使用的其他软件,有可能也有盗版的嫌疑。

    突然想到一个可能,如果对开发者的软件管理如此松散,如果 NSA 盯上了大厂及其用户,大厂根本就是在劫难逃, NSA 和别国的黑客国家队都能谈笑风生,比这次 XCodeghost 的作者不知道高到哪里去了

    47 条回复    2015-09-23 15:45:11 +08:00
    subpo
        1
    subpo  
       2015-09-21 13:48:20 +08:00
    xcode 是免费软件 ...
    yksoft1
        2
    yksoft1  
    OP
       2015-09-21 13:51:24 +08:00
    @subpo 将免费软件任意篡改后放到网上,一样是盗版。就算是开源软件,如果不遵守 GPL 任意发布其 binary ,也可以认为是盗版
    est
        3
    est  
       2015-09-21 13:54:35 +08:00
    实际没那么复杂。大公司开发工具都是 IT 提供放到内网共享里,像 xcode 这种一更新就是 3 个 GB ,很多企业网络禁止大家一起更新,否则带宽直接占满。微软推出 WSUS 也是出于这个考虑。。。。

    IT 去哪里找下载?都是 baidu/迅雷走起。。。。。。。。。。。。。
    yksoft1
        4
    yksoft1  
    OP
       2015-09-21 13:56:25 +08:00
    @est IT 管理从网上随便下载软件也是严重的管理失误
    est
        5
    est  
       2015-09-21 14:02:33 +08:00
    @yksoft1 那还能怎么下?给 IT 配一个单独的 apple developer 帐号,让他们每次下载了手工提取出 dmg ?还是直接用公司的集团 developer 帐号?
    qiayue
        6
    qiayue  
       2015-09-21 14:07:28 +08:00
    你一定不是一个 iOS 开发者
    stupil
        7
    stupil  
       2015-09-21 14:14:29 +08:00
    而是中招的大厂都把其使用的 Mac 或者 Hac 的维护外包给了同一家业内有名的专门维护 Mac 的公司

    想多了,别说没问题,有问题也得自己干。没人管你,还维护呢。。
    songco
        8
    songco  
       2015-09-21 14:16:26 +08:00
    这次的关键是使用迅雷, 用 apple 的网址下载到了有问题的版本.

    ps, 我在企鹅家工作过, 貌似没人关心开发的 ide 怎么安装的.
    jimrok
        9
    jimrok  
       2015-09-21 14:20:46 +08:00
    银行很多 build 服务器在内网,你说怎么操作?
    goodan
        10
    goodan  
       2015-09-21 14:29:22 +08:00
    露珠想多了。。。
    ck65
        11
    ck65  
       2015-09-21 14:39:12 +08:00
    不知 LZ 的担忧在现实中有没有,反正公司 Mac 系统(包括买黑苹果干活的公司)统一由淘宝卖方来初装甚至维护。所以并不敢否定 LZ 的推测。
    ck65
        12
    ck65  
       2015-09-21 14:39:47 +08:00
    卧槽留了个病句。
    「...初装甚至维护的现象,我见过不少。」
    bookit
        13
    bookit  
       2015-09-21 14:43:54 +08:00
    网易穷得用黑苹果,很多人在微博上说。

    这公司对程序员这么抠门。。
    fishg
        14
    fishg  
       2015-09-21 14:44:13 +08:00
    想得真多
    cloudyz
        15
    cloudyz  
       2015-09-21 14:53:51 +08:00
    你的第一句 按理说就说错了
    dorentus
        16
    dorentus  
       2015-09-21 15:35:19 +08:00
    @est 其实是可以的。公司 Developer ID 下面可以添加各种角色的各种账号( Apple ID ),有相关权限的账号就可以去 https://developer.apple.com/downloads/index.action 上面直接下载 dmg 。

    然而,架不住还是有人觉得慢……
    neo2015
        17
    neo2015  
       2015-09-21 15:38:43 +08:00
    这种免费软件也会安排人吗?去采购免费软件?
    otakustay
        18
    otakustay  
       2015-09-21 15:50:37 +08:00
    软件采购管理制度是啥,我狼厂表示都是自己下盗版用的
    ycge234
        19
    ycge234  
       2015-09-21 15:51:00 +08:00
    据我所知.这些公司比楼主想的要随便多了``
    imn1
        20
    imn1  
       2015-09-21 16:15:38 +08:00
    既然你脑洞大开,我也陪你疯一下
    这个下载源可能属于不能说,所以硬骨头各家就只好自己啃了
    想象一下国内 android 市场的 gg 产品版本比 play store 上面还要高,应该有某个好心人帮忙开发的……呵呵
    sojingle
        21
    sojingle  
       2015-09-21 16:17:18 +08:00
    带宽啊,管理啊之类的问题,公司买台 Mac Mini 装上 OS X Server 就能解决,有 Software Update Cache 功能,还有 NetInstall 功能用来安装软件。 OS X Server 用于公司里 Mac 的批量管理还是很方便的。

    https://help.apple.com/serverapp/mac/4.0/#/apdA8F45C0A-CDA8-4CF1-BDDB-F90689858287
    est
        22
    est  
       2015-09-21 16:28:12 +08:00
    @sojingle 不开发票,很多公司不会去付那个 $19.99 的 server 版 。。。。。
    ibremn
        23
    ibremn  
       2015-09-21 16:34:37 +08:00
    我猜楼主没有接触过 iOS 开发,甚至没有在互联网公司工作过。。。
    irainsoft
        24
    irainsoft  
       2015-09-21 16:41:37 +08:00
    都是百度出来的,怎么方便怎么来-_-||
    sodatea
        25
    sodatea  
       2015-09-21 16:45:13 +08:00
    能不能先把大小写拼对
    XcodeGhost
    BOYPT
        26
    BOYPT  
       2015-09-21 16:47:24 +08:00
    我猜楼主没有接触过 iOS 开发,甚至没有在互联网公司工作过。。。
    +1
    goodbest
        27
    goodbest  
       2015-09-21 16:55:23 +08:00
    @BOYPT
    @ibremn

    lz 可是金坷垃等的调教高手...传说中的技术宅
    iv2ex
        28
    iv2ex  
       2015-09-21 17:01:11 +08:00

    一般对使用工具不做硬性要求 不过现在开始 大厂应该有意识了吧
    iv2ex
        29
    iv2ex  
       2015-09-21 17:03:47 +08:00
    大量公司的电脑主机是电脑城供应的 那边会帮忙安装好系统
    公司电脑主要还是 Windows 为主 Office 由用户自己安装 想升级系统也可以自由升级
    squid157
        30
    squid157  
       2015-09-21 17:16:39 +08:00 via iPhone
    @est Developer ID 可以得到 download code ,我的是这么来的
    yksoft1
        31
    yksoft1  
    OP
       2015-09-21 17:22:16 +08:00
    @ibremn 表示我最多就外派到去系统集成的公司当过合作方负责人而已
    然后,我是 Win32 , C 和 Delphi 派
    rebuilder
        32
    rebuilder  
       2015-09-21 17:43:38 +08:00
    猜测:
    编译打包的服务器去申请一台 mac pro ?
    一是流程麻烦(不在平常的采购清单中),二来性能可能还是不够用。

    如果部署在公司已有的 pc 服务器上(虚拟机),省太多事了。(编译、打包、测试、发布仍在一台服务器上搞定)
    Radeon
        33
    Radeon  
       2015-09-21 18:00:12 +08:00
    我觉得还有一种可能性:

    某个下载了 XCodeGhost 的工程师把被感染的二进制库 check-in 进了版本管理服务器。按开发流程版本管理服务器应该是不允许 check-in 可以生成的二进制文件的,但是要是开发主管水平不够就意识不到
    codingpp
        34
    codingpp  
       2015-09-21 18:06:35 +08:00
    楼主很有想法
    yksoft1
        35
    yksoft1  
    OP
       2015-09-21 18:16:33 +08:00
    @Radeon 问题是这个库不是在工程目录而是在 XCode 的 SDK 目录里面,没可能 commit 进去
    loryyang
        36
    loryyang  
       2015-09-21 18:20:30 +08:00
    LZ 想多了,事实是大家都是各凭本事下载
    一般外企会比较规范些
    Radeon
        37
    Radeon  
       2015-09-21 18:41:53 +08:00
    @yksoft1 这么说来,也许是某个工程师下载了 GhostXcode ,未做鉴别就放在内部文件服务器上了。然后第二天上班大家都从内部文件服务器上下载。
    Lyc1874
        38
    Lyc1874  
       2015-09-21 19:08:17 +08:00 via iPhone
    非码农怎么找到这的
    surefire
        39
    surefire  
       2015-09-21 19:14:04 +08:00
    大公司,呵呵,有时候对开发人员的管理估计还不如几个人十几个人的小团队吧
    yksoft1
        40
    yksoft1  
    OP
       2015-09-21 20:05:58 +08:00
    @Lyc1874 你怎么知道我是非码农.
    liword
        41
    liword  
       2015-09-22 07:33:40 +08:00
    很多中国人习惯了乱用各种来历不明授权未知的软件及开发工具。
    中国公司基本完全不管,就算买了授权继续用盗版的也很常见。
    国内的外企也很难幸免,毕竟很多人都是中国公司跳槽进去的,各种糟糕的习惯一辈子都改不了。
    把全国的码农拉出来检查的话,估计一辈子都没有从官网下载过软件的都会超过 60%。
    ProfFan
        42
    ProfFan  
       2015-09-22 13:14:06 +08:00
    我是听楼主的金坷拉长大的一代
    Chakane048
        43
    Chakane048  
       2015-09-22 17:25:09 +08:00
    楼主可怕极了
    yksoft1
        44
    yksoft1  
    OP
       2015-09-23 00:21:05 +08:00
    @Chakane048 话说我总觉得越来越多的地方有人认识我了
    yuriko
        45
    yuriko  
       2015-09-23 15:07:00 +08:00
    规矩并不可能管的这么严
    狼厂这边管的算严的了,但是如果我真的从来路不明的地方找来了 IDE 并其实也没有人能干涉
    一切都得靠自我约束
    yksoft1
        46
    yksoft1  
    OP
       2015-09-23 15:29:16 +08:00
    @yuriko 狼厂的还敢在这个时间上外网〉
    yuriko
        47
    yuriko  
       2015-09-23 15:45:10 +08:00
    @yksoft1 你说的好有道理……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1494 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 23:55 · PVG 07:55 · LAX 15:55 · JFK 18:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.