App Store 在 XcodeGhost 事件发生之后采取了怎样的应对策略? 举报 理由 举报 取消 2018年1月13日 6 条回复 1506 次浏览 App,Store,XcodeGhost,商店
回复 ( 6 )
apple一开始看到这个消息的时候,估计和你我一样震惊,然后表示要去了解一下事情的原委;
然后,苹果刚刚对于给用户造成的影响,官方也做了解答:目前没看到任何客户个人身份信息受影响,代码无法通过用户身份请求获取 iCloud 或其他服务密码。恶意代码只提供基本信息,比如 app 和一般系统信息,原文是:
苹果敦促开发者们在下载 Xcode 后务必要验证该应用是否纯正,提出开发者们应从 Mac App Store 或者苹果开发者(Apple Developer)网页下载官方正版 Xcode 应用,并保持 Gatekeeper 验证功能开启,以便验证 Xcode 应用签名的有效性。同时给出了验证方法:
无论开发者是从官方还是非官方渠道下载 Xcode,都能利用终端指令来验证应用签名,苹果也提供了具体的方法,即在终端窗口中输入“spctl –assess –verbose /Applications/Xcode.app”,其中“Applications”为 Xcode 安装文件夹,根据不同的返回结果即可验证 Xcode 签名是否有效。具体如下:
若应用为 Mac App Store 下载的版本则会返回
苹果这几天除了下架 App,给开发人员群发邮件说怎么校验下载的 Xcode 签名是否安全之外,主要工作是发了新闻稿:
有关 XcodeGhost 的问题和解答
然而针对接触的情况和目前这个新闻稿,我有小小的几句话想说:
比如有几个明显被影响的知名 App,并没有和一些其他 App 一样,很快(24小时对于苹果已经相当快了)被下架,而是晃晃悠悠的等到了修护版本刷新,还有几个 App,甚至问题版本现在还在线上,我就不说一开始表现得很高度重视用户利益的“某眼”了,而很多小透明似的 App 倒是清理神速。
这种区别对待这么明显,真让人怀疑有没有 Apple 的内部员工欺上瞒下的参与啊。
另外,新闻稿那个 Gatekeeper 其实多少也是可以绕过去的?就算打开了 Gatekeeper,也有挺大的可能没有任何提醒就装进去。只要安装包把签名剥离,剩下只要用户选“对”下载器就足够绕过 Gatekeeper 了吧。然并卵。
更新最新消息:
苹果已经在官网上对该事件做出了相应的回应:
有关 XcodeGhost 的问题和解答
—————————————————–我是之前回答的分割线—————————————————–
苹果公司官方发言人Christine Monaghan通过邮件表示,目前苹果公司已经开始清查下架相关应用,并且正在和开发者沟通,确保开发者使用官方版本的Xcode重建应用。
(貌似之前的回答突然就没啦,只留下了这么多,额,那就这样吧,列几个链接大家看看)
推荐阅读:
深扒300款iOS应用被植入恶意代码事件始末 – 爆料汇 – 知乎专栏
参考阅读
苹果XCode事件后续 苹果或将免于赔付
Xcode感染多款游戏引擎 大量游戏“中招”
苹果公司出手:已删除344款iOS恶意应用
XcodeGhost事件:全行业震惊!开发者微博道歉
关于Xcode自带病毒事件你必须要知道的7件事
XcodeGhost事件冷思考:智能时代的达摩克利斯之剑
iOS系统不完美!多款应用被置Xcode病毒
XcodeGhost探秘:苹果栽在源码病毒手里
苹果副总裁回应Xcode木马事件:正在快速解决
苹果回应XcodeGhost事件:个人信息没受影响
根本就是开发商自己偷懒造成的,就像你自己刷机了去找苹果维修一样,这能怪苹果投毒吗,苹果已经应对的很全面了
谢邀。
9月21日消息,苹果周日对XcodeGhost的恶意软件事件进行回应表示,正在对iOS App Store进行清理,删除其中的恶意应用。
苹果发言人Christine Monaghan表示:“我们已经从App Store删除了这些基于伪造工具开发的应用。我们正在与开发者合作,确保他们使用合适版本的Xcode去重新开发应用。”但对方并没有指出,iPhone和iPad用户应当采取什么样的措施。
被修改的Xcode来自中国的一个服务器,这一服务器被中国开发者频繁使用。奥尔森表示,这是因为对中国开发者而言,相对于苹果的美国服务器,从这一服务器下载的速度更快。
AppStore是被躺枪的 好吧
就算我这渣网速 下载一晚上也是妥妥的下载完成啊
最大的问题是我国高端互联网公司的办事风格吧
ps:apple官方给出了验证xcode来源的方法