標籤:

如何看待網易雲音樂等網易App使用第三方渠道下載的Xcode進行開發?

01-12

這件事我了解的不多,但是一直有一些疑慮。如果不符合主流價值觀,求輕黑。

網易雲音樂、滴滴、高德等產品此次確實有疏漏,對開發工具的校驗不夠嚴格,導致被黑。但是,憑良心講,這次網易雲顯然被黑得有點過了。這些應用當然逃避不了責任,但是更該被黑的難道不是木馬開發者和你國的牆嗎?而且,我同樣不太理解的是,這分明是一樁集體事件,但最後輿論卻都一致地把靶子單單對向網易雲音樂,到底為什麼?

先和大家梳理一下這個事情:

1、
這個事件的起因:因為使用第三方下載工具,三百多款應用被注入Xcode第三方惡意代碼。而為什麼國內這麼多主流應用都使用這個不夠安全的第三方工具下載?第一,怪那個腦子有洞的木馬開發者;第二,怪有些公司圖省事;第三,怪你國的牆,導致蘋果官方下載速度變成那個鬼德行。請不要說什麼那是因為誰誰公司網路差這種鬼話了,你們想想看自己平時上app store有幾次能很順利打開的?至少我每次都慢得想翻白眼。

2、
這個事件影響的應用:按央視報道,一共有350餘款app都被感染,這裡列出大家熟知的一部分:微信、滴滴打車、12306、高德地圖、聯通、中信、簡書、下廚房、南航、憤怒的小鳥2、網易雲音樂等。這些應用全部都感染了木馬,應用範圍涉及互聯網、金融、鐵路航空、遊戲等領域。也就是說,網易雲音樂只是1/350。

3、
這個木馬程序有什麼影響:用戶使用被植入XcodeGhost惡意代碼的app後,app會自動向病毒製造者的伺服器上傳諸如手機型號、系統版本、應用名稱、應用使用時間、系統語言等信息。也即,泄露的大多是產品數據。疑似木馬製造者也發聲明,稱這只是一次試驗,沒有造成後果。而且,從目前已有病毒樣本的分析看,這些泄露信息確實並不涉及太多的隱私問題,可信度還是比較高。也就是說,這個木馬的影響的確不太好,但也沒有壞到不可收拾。(再插句話,從個人觀感來看,在雲音樂的用戶隱私泄露方面其實我並不太擔心,因為網易系應用請求的許可權一直都很有節制)

大致了解後,我們來分析為什麼明明是個集體事件,但是網易雲音樂卻被黑得最慘,甚至是唯一被黑的?

1、
是只有網易雲音樂感染木馬嗎?顯然不是,大家都看到了被感染名單,一共有三百來個應用被感染。

2、
是事情發生後網易雲音樂處理得太慢嗎?還是網易雲音樂對用戶的擔憂和知情權太不上心嗎?

顯然也不是,第一家向用戶發出公告的是網易雲音樂,發出公告後網易雲又第一時間提交了安全的app store新版本。而現實是,其它大多數被感染的應用里,大部分到現在都在裝死。這裡面還包括似乎不受木馬事件半點影響的著名應用——微信。微信的6.2.5版 本身也是感染的,只不過他們不告訴用戶自己悶聲就改掉了。

3、
那麼,是網易雲音樂使用了黑蘋果嗎? 據我打聽到的,應該也沒有。(不知道外界為什麼這麼傳。)

4、
那麼,為什麼單單網易雲音樂被當成了靶子?是因為用戶量大、泄露信息可能更大嗎?顯然更不是。一樣被感染的滴滴的用戶量和使用頻率一定比網易雲音樂更高吧,
從產品形態上因為涉及支付,引起的恐慌不也應該更大嗎?但是卻很少有人去黑滴滴。為什麼?我猜測原因有兩個:

第一,烏雲網稿件中首次爆出的時候就單單從受感染的一大波應用中拎出了雲音樂,而當時烏雲網知道的應用就不止有一個,包括後來許多新聞稿中很多也都只拎出了雲音樂。用小人一點的思路去猜測,烏雲網以及部分科技網站的稿件發出前已經被相關產品「公關」過,比如刪掉了自身產品應用,或者故意拎出網易雲音樂作為靶子。否則不管是用戶量、知名度、敏感度等各方面,網易雲音樂都一定不是排在第一的那個。第二,大家再仔細去看看網易雲音樂這次兩個公告下的評論(公告一:公告。 來自網易雲音樂 ;公告二:網易雲音樂新版本已在App Store上線,修復X... 來自網易雲音樂),可以發現:第一個公告評論下幾乎是一面倒的猛噴、嘲諷,簡直要黑出翔了。第二個公告評論下的主流輿論卻又變得溫馨有愛、還各種讚賞是良心軟體。放正常人眼裡,誰都會覺得這些用戶腦子有洞吧,才短短几天這態度變化之大也太分裂了。

可以解釋這個事情的原因,我只能想到一個,那就是:有水軍啊旁友們!理性地想,這些評論太不像網易雲的用戶了,畫風完全不對啊。網易雲音樂的用戶口碑好,這已經是公認的事了。甚至連知乎都一度因為雲音樂口碑一面倒而被懷疑過有水軍。所以,我只能猜測出這個結論:有人在借這個事情搞網易雲音樂。這讓網易雲音樂從1/350被黑的概率,一下子概率max,成了眾矢之的。是不是這個道理?(當然你非要說,誰讓網易雲用第三方工具下載,被搞也是咎由自取,那我沒話說。)

只是一個想法,不一定對。

上周五刷微博刷到的事情,回來一看知乎也有了這問題,果然知乎已經變成了信息獲取的主要源頭之一了。

這件事情開始是在烏雲君的微博上爆出來的,最先被發現的應用是網易雲音樂,隨後發現微信、12306、滴滴出行、高德地圖、中信銀行、同花順等超過350個應用的某些版本都存在著XcodeGhost漏洞問題。

嘛,好歹我的手機耗在雲音樂上的內存也有5G,好歹我在雲音樂建的歌單也有15萬收聽量和2K的收藏量。一款日常所用產品在短時間內被同一問題刷屏,著實讓我思考了好一會。

先來了解下XcodeGhost問題的來龍去脈

1、XcodeGhost是什麼?

Xcode是蘋果公司的官方開發工具,大小約2G左右,也是目前開發者開發MAC和iOS應用程序最普遍的方式,負責把源代碼編譯為可執行的App。開發者把App上傳到蘋果應用商店後台,經過蘋果官方審核後,App在應用商店AppStore上架,正式開放下載。如果通過App Store的官方渠道下載就不會有沒有什麼問題。但問題是!你國國情特殊,相信大部分用過App Store人都特別熟悉「無法連接到App Store」這句話吧↓↓↓

ㄟ( ▔, ▔ )ㄏ攤手, 網速慢就只能轉投國內論壇、網盤等去找第三方資源,因此就給了第三方下手的機會。

2、XcodeGhost的影響

根據多家科技媒體的報道,這段代碼獲取的全部數據為:應用名、應用版本號、系統版本號、語言、國家名、開發者符號、App安裝時間、設備名稱、設備類型。雖然有一些信息泄露,但主要涉及到的是產品方面的內容,對於用戶的身份信息、賬戶密碼什麼關鍵信息並多大影響,無須太過緊張,當然心理上肯定有些不舒服。

3、XcodeGhost作者出現

最新進展是,始作俑者終於在網路上跳了出來:交代了事情的起因經過結果,表示在代碼裡面加入了可以推廣的廣告功能但沒沒有使用,確定沒有任何威脅性的行為,「僅僅是一段已經死亡的代碼」。

微博鏈接:#XcodeGhost#關於所謂「XcodeGhost」的澄清。... 來自XcodeGhost-Author

總之就是虛驚一場,然後我們回到這個題目本身。

網易雲音樂確實有錯,不應該亂用第三方開發工具,但為什麼在浩如煙海的躺槍App中,只有網易雲音樂成為躺槍的那個。。。

在我的手機上的新聞應用,無論是百度、騰訊、鳳凰、搜狐、今日頭條,每一個推送關於XcodeGhost問題的,無一例外都是用「雲音樂等應用」來新聞標題,我就有點奇怪,「等」裡面包含的應用有哪些呢,難道真的不值一提嗎?

然後一看就傻眼了。。。

中信銀行動卡空間、12306、高德地圖、中國聯通手機營業廳、百度財富、滴滴打車、同花順、南京銀行、南方航空、51卡保險箱、UME電影票等等這些會使用到用戶敏感個人、財產信息的應用赫然在列。即使是流媒體音樂應用,百度音樂也在其列。理一理絲路就會知道,從應用類型、風險程度來說,網易雲音樂都排不上最能引起新聞點的應用。

而且從事後網易雲音樂微博和處理方式來看,它反而是最早最及時站出來承認錯誤的那個應用。事情爆發當天下午,網易雲音樂在風口浪尖第一個站出來發了個公告(鏈接:公告。 來自網易雲音樂),打破緘默,並確證了不會有任何威脅。兩天之後,雲音樂新版本緊急通過審核上線(鏈接:網易雲音樂新版本已在App Store上線,修復X... 來自網易雲音樂),再次道歉並告知用戶及時更新。【當然,對第一個公告的寫作方式我持保留態度

以同樣作出官方聲明的微信來對比下:

微信有問題的版本是6.2.5,在問題曝出之前微信就已經自己偷偷更新了6.2.6,原本以為可以瞞天過海。萬萬沒想到偷天換日的行動還是被發現了,不得以在當天晚上才發出通告。

(鏈接:來自騰訊微信團隊)

我無法記起6.2.5版本的微信在我手裡存留了多長時間,但我每天平均有46%的電量耗在微信上,微信支付、微信紅包、微信轉賬,這些功能我每天都會用到,微信團隊早知道有這樣的漏洞,卻不告知用戶,讓我以百分百信任的態度來使用這些敏感的功能,事發東窗後,卻只想扮演事後諸葛亮。

所以回過頭來,是什麼原因會導致網易雲音樂領銜被黑,而其他產品則安然無恙?

心細如塵的網友們可以去上面貼的兩條雲音樂公告下面的評論,第一條下面評論戾氣重得不忍直視,最可笑的是還有不少安卓機型的微博用戶一邊表態已刪除一邊各種噴,「卸載網易全家」的話語不絕於耳,不手撕雲音樂開發人員簡直不解氣。反觀第二條更新之後的公告,粉絲們紛紛化身小白兔,表示已經原諒了雲音樂並且讚揚更新迅速,敢於承擔問題。

用戶不是傻子啊,情緒起起伏伏這麼快又不是人人都處於青春期情緒激昂。而且,以雲音樂粉絲的一貫素質和風格而言,大部分逗比又可愛,已經快演變成自來水,怎麼可能在兩天時間裡一下子變身逆來順受的牆頭草。。。

烏啦啦,還能怎麼解釋咯,反正我覺得前方有一大波正規水軍帶著糧草在趕過來,網易雲音樂微博不幸淪陷=、=再聯想到各種記者收受賄賂的新聞什麼的,那些新聞App推送的新聞被部分產品「公關」過的可能性也不是沒有哇,不然為什麼所有媒體都把靶子指向他。

最後,想請問一下

題主,放著這麼多其他軟體的問題不問,偏偏寫「網易App」,確定真的不是豬場黑嘛?

心疼雲音樂。

也心疼這個水軍當道的時代。

好久沒寫這麼長的回答了,以上回答僅代表個人看法。

蘋果官方的聲明出來了

有關 XcodeGhost 的問題和解答

我們目前沒有任何信息表明這些惡意軟體與任何惡意事件相關,也沒有信息表明這些軟體被使用在傳播任何個人身份信息的用途上。

我們目前沒有看到任何客戶個人身份信息受到影響,而且代碼無法通過用戶身份請求來獲取 iCloud 或其他服務的密碼。

只要一經發現這些 app 有可能通過惡意代碼開發,我們就對其進行下架處理。開發者們正在快速更新他們的 app,以便用戶使用。

惡意代碼只能提供一些基本信息,比如 app 和一般系統信息。

此時此刻,那些在微博上瘋狂傳播、營銷自己檢查「病毒」的軟體的所謂大號的人,在哪裡呢?

那些躲在陰暗角落暗箭傷人、造謠中傷的人,在哪裡呢?

哪些不明就裡、只顧起鬨的人,又在哪裡呢?

這個世界就是這麼現實。可以對比下網易雲音樂第一時間發出的第一篇公告,所講的這次的後門的影響,只會獲取一般的App信息,和用戶隱私無關,以及蘋果這篇公告中的文字。

一篇第一時間澄清,希望不要引起恐慌,避免對不明真相的群眾造成更大傷害的公告,被水軍攻擊成了掩蓋事實、推卸責任。在無數被感染的產品中,莫名其妙被當成了唯一攻擊對象,並且伴隨著公眾恐慌的蔓延,這裡面深層次的原因是什麼呢?

然而真相總會水落石出。然而好的產品和品牌會不斷奮勇前進。

利益相關:網易員工。

這個很明顯是CTO的責任:假如某個工程師圖省事自己下載了XcodeGhost還好說,但是一個公司的用來構建正式發行的產品的機器上運行的是XcodeGhost,到底是怎麼管理的?

CTO必須

  1. 全盤了解代碼安全的各種威脅和常見的被利用的漏洞
  2. 必須長期給開發組培訓代碼安全的知識
  3. 必須以強制的、偏執的、自動檢驗的、可審計的方式在開發組貫徹最嚴格的工具鏈/庫/代碼管理
  4. 最重要的構建機器的硬體搭建、網路設定、軟體安裝和私鑰管理必須自己捲袖子做(交給過兩個月就可能走人的工程師去做這件事,不是開玩笑嗎?)

除了CTO,沒有人能夠在開發組推動這件事,所以CTO責無旁貸

這種動搖公司信譽根基的事情,必須要偏執,否則就不要出來開公司,自己組工作室玩好了

經過我測試,在上海電信50M,未翻牆未改DNS未買精品包的速度下,Mac App Store上下載Xcode的速度達到6MB/s以上

所以這怪不了國內下載蘋果的東西慢,只能怪網易在管理上的嚴重疏忽,作為國內排名靠前的互聯網公司,開發環境部署一塌糊塗,沒有集中部署,大家只能自己下載,要麼下載慢要麼斷網,逼著別人下第三方包,開發人員安全意識薄弱,沒有檢查安裝包的可靠性,測試環節也形同虛設,沒發現app被注入代碼

作為一家大型互聯網企業,從上到下卻和鄉鎮企業一般粗糙落後,還不如去養豬

希望這次事件能促進網易高層注意一下員工的設備更新。錢掙了,該投入還是要投入。

國內的開發者(或者說員工)的不專業也不是一天兩天了,基本上多大的公司在這方面都是漏洞百出。

所謂的不從官方下載開發工具算個什麼啊?小巫而已

我見過商業email裡面使用RAR的(對公司收費的軟體)。

見過在公司的電腦上安裝360套裝的(信息安全是什麼?能吃么),居然還在反思電腦怎麼變慢了......

見過在公司電腦上安裝P2P傳輸工具的(在規定嚴格的公司裡面這是要被fire的,涉嫌偷竊/傳播機密,而且影響信譽)。

見過把整段機密文檔貼到網上去翻譯的(外文都還給老師這種小細節就不要在乎啦)。

見過在商業軟體的發布版裡面還殘留有用個人郵箱註冊的key,甚至有人打包裡面包含有其他商業軟體的庫之類的。

至於不加密明碼郵送源代碼壓縮包,把資料隨便往U盤裡面copy簡直司空見慣......

......

有的時候,臨時工梗確實是個推脫責任的借口,但是往往真的實至名歸,很多人的行為也不比臨時工好多少。

確定不是專業黑網易的?

1)這個問題在運維界早已犯過錯,當年漢化的PuTTY就已經暴露過這樣的問題。不過有多少公司重視就不知道了。

2)App Store因為各種因素導致國內訪問太慢,每個開發者必須要自備梯子。怪Apple CDN沒做好的怎麼不怪自己的安全意識不足。

3)不要圖省事!不要圖省事!不要圖省事!

4)迅雷和百度盤這種連毛片都下不了的軟體,你們裝這個幹嘛。。。

國內互聯網公司由於基因決定,目前還都處於比較粗曠的發展階段,做事情講美觀,講體驗,講效率,就是不講安全,不講專業,不講科學。重實效輕流程,過猶不及。

一群人很想當然的回答著這個問題

看了看樓上的各位,基本全是黑網易的,在黑網易雲課堂,網易雲音樂的同時也同時狠狠地黑了網易一把,我承認,我們這邊ios端的開發有部分用黑蘋果開發的,這個原因我也不是很清楚,但是大家忘記了一點,就算退一萬步講,我們用了黑蘋果,是,我們不專業,我們渣渣等等你們怎麼講我都認了,為什麼大家不去黑那個開發木馬的,難道在xcode裡面寫病毒還特么有理了? 這是什麼心態我不是很理解,裝逼?還是體現自己的安全知識多麼多麼牛逼,讓我想起來熊貓燒香。呵呵。。。你看看有幾個安全大牛閑的蛋疼來做這種東西。首先我是網易人,我不是來洗地的,網易的產品大家好好想想,是不是業界良心。網易雲課堂,你在上面學到了多少東西,現在特么來黑他,想想你說這些話的時候會給自己帶來什麼反作用力啊,網易的這些產品真的不賺錢,只是為了用戶體驗,你特么一次病毒事件就這麼黑網易,那試問阿里雲升級成病毒怎麼講?最後:低調不代表好欺負!

迅雷伺服器未受感染!

以下是迅雷公司的聲明:

各位媒體朋友和迅雷用戶:

對於今天爆出的Xcode被植入惡意代碼一事,我們注意到有猜測稱,迅雷伺服器受到感染,導致使用迅雷會下載到含有惡意代碼的Xcode。

迅雷第一時間安排工程師進行檢測。工程師測試了烏雲網原文中提到的Xcode6.4和7.0兩個版本的下載,檢查了索引伺服器中的文件校驗信息,並對比了離線伺服器上的文件,結果都與蘋果官方下載地址的文件信息一致。也就是說,官方鏈接的Xcode經迅雷下載不會被植入惡意代碼。

感謝大家對迅雷的支持,請大家放心使用迅雷!

說句心裡話,自己本身從開發端出來的,我個人對互聯網目前的現狀是根本不信任的,我自己已經很小心翼翼了,在pc端最多就是用用支付寶的信用卡還款,支付寶里沒有一毛錢,用網銀必須結合key來使用,信用卡額度也不會開的太高;在手機端根本沒有下載支付寶、各種銀行的手機客戶端,僅僅在微信里綁定了一張以前的銀行卡用來打打車,從不亂下各種app,手機堅持不越獄,這尼瑪千算萬算還是沒有算到從開發端就出了問題,只能說以後要更加謹慎了,希望國內的公司都好好規範管理下自己的開發環境吧

為什麼沒人吐槽Xcode AppStore?

我知道國內有公司做開發用是黑蘋果的,還是淘寶買的,所以這次感覺也沒什麼奇怪的。

任何軟體都最好在官網下,絕對的安全要靠https(嚴格的說其實沒有絕對的安全),不然還是可能受到中間人攻擊。(直接偽造整個官網)

像網易雲音樂這種需要用到的第三方開發環境的嚴肅的產品就算不在官網下好歹也得驗證一下SHA碼MD5碼之類的吧。

讓迅雷背鍋的答主,你們還沒懂這個事情發生的原理;如果非要讓其他人也背鍋的話也應該是蘋果。

開發人員都配的黑蘋果....

這豈止是恥辱?簡直是恥辱!!

業餘!無知!愚蠢!安全意識淡薄!管理混亂!

這不是疏忽,這就是不專業!!!

任何理由都是借口,任何借口都是為了掩飾其自身的不專業!

肯定是實習生乾的啦。

推薦閱讀:

如何評價疑似 XcodeGhost 作者的澄清說明?
為什麼希望xcode有中文界面這麼遭鄙視?
xcode中是否有辦法通過代碼設置斷點?
如何利用 Xcode 的 Developer Library 學習 Objective-C 與 Mac / iOS 開發?
我用 ios masonry 進行對我的tableViewCell進行布局,發生了布局衝突?

TAG:Xcode | 烏雲WooYun | 網易雲音樂 | 安全漏洞 | XcodeGhost |