如何評價疑似 XcodeGhost 作者的澄清說明？

01-12

XcodeGhostSource/XcodeGhost · GitHub

混淆視聽的聲明，是一個惡意軟體和後門，分析見 http://mp.weixin.qq.com/s?__biz=MzIwMTI4Nzk5Ng==mid=210605588idx=1sn=109d3415aa95bbb7ca4270e78c86680cscene=0#rd

摘錄一段：

6. 在@Saic的提示下我們發現受感染的app還擁有接收黑客在雲端的命令並按照黑客的指令發送URLScheme的能力：

URLScheme是iOS系統中為了方便app之間互相調用而設計的。你可以通過一個類似URL的鏈接，通過系統的Openurl來打開另一個應用，並可以傳遞一些參數。一個惡意的app通過發送URLScheme能幹什麼呢？

&<1&>.可以和safari進行通訊打開釣魚網站。

&<2&>.可以和AppStore進行通訊誘導用戶下載其他AppStore應用。

&<3&>.可以和itms-services服務通訊誘導用戶下載無需AppStore審核的企業應用。

&<4&>.向支付平台通訊發送欺騙性的支付請求等。

把12306惹到了，難說會不會被起訴，畢竟鐵路系統有公檢法的。可以輕判。不過違法應該是肯定的。擅自修改計算機程序，搜集信息隱私，有主觀惡意未遂（廣告），有自首情節，沒有造成特別嚴重的危害。

破壞計算機信息系統罪

ps.迅雷的下載怎麼被污染了，這個真心要查查，細思極恐。難道迅雷的文件鏡像選擇不是按照hash匹配的？！

回應一下以下評論里說我不懂域名註冊的知友們…… 未註冊的域名，當然不會無端漲價，但稍有商業價值的域名，大都早早被職業炒家收走了，輪不到普通人自己去註冊，找他們那裡買的時候，價格就跟意義有關了。可能我不該用「註冊」這個詞……

不過，我確實太高估了 http://icloud-analysis.com 這種看起來像蘋果官方的域名的價值，感謝 @BenMQ 指正。

以下是原答案。

--------------------

純粹瞎扯。

攻擊者使用的域名是 http://icloud-analysis.com，這種帶知名產品名字、意義清晰、好記的域名，價格必然很貴。如果是我，隨手做一個實驗，可能直接用 IP 了，就算註冊域名，肯定也是 http://skldjslfld.info 這種別人看不懂也記不住的域名，便宜啊。

既然他願意花大價錢去註冊 http://icloud-analysis.com，自然是希望別人即使注意到那個額外的請求了也會誤以為蘋果的行為。

而且，這個域名用 whois 查不到註冊者的身份，說明至少是具有一定經驗的攻擊者。

退一萬步說，就算是真的，一邊說別人說的都是「謠言」，一邊「真誠地致歉」，這分裂得也是可以。

退一萬步說，就算是真的，行為違法了還是違法了，不是因為動機就可以免責的。

法制社會要有法必依，執法必嚴。

非法篡改計算機信息系統，造成巨大影響，不是輕輕一句抱歉就算了的。

嚴格執法，殺雞儆猴。

欲蓋彌彰？此地無銀？正太賣萌？喵星男人？巨蟹座？

可能作者以為他現在還沒盜取什麼用戶信息，將事情坦白，公開代碼就沒他什麼事了。然並卵，這鳥人篡改xcode文件並在網路上傳播已經違法了。

附上另一個回答:xcodeghost有何影響http://www.zhihu.com/question/35721299/answer/64291645

就算是真的，這個人也應該被抓起來吧。這個「出於私心」基本上是中國互聯網流氓修改軟體的潛規則了，一直以來大家都這麼做，完全不擔任何法律後果。這次造成這麼大的恐慌，對眾多公司的商業信譽更是造成巨大損害，是時候把這個事情嚴肅化了。

蘋果把關審核不仔細有錯，開發者不負責任使用來路不明的安裝包有錯，但仔細一想，他們也都只是毫無私心地犯了大家都會犯的錯——偷懶。本次事件的唯一無辜受害者，是最終用戶；唯一動機不良者，是 XcodeGhost 的開發者。

用戶們能接受此事不了了之嗎？不能。誰會主動來負責嗎？沒有誰。那就只能抓抓原作者來泄憤了……

希望公安機關像當年面對熊貓燒香一樣，為民除害，殺殺這股歪風邪氣，以儆效尤。

要知道當年熊貓燒香最初也只是改改系統圖標，沒有什麼實質危害，後面才出現各種威力更大的變種。這次事件如果不被發現，難保相同機制不會被人用來干更具殺傷力的事。

我想問問這些大廠商，尤其是12306，從官方途徑下載工具這麼難么？

firewall:怪我咯？

不得不說中國的互聯網環境，下個官方的xcode要半個世紀，android的官方sdk，studio更是全線connect timeout，要做開發，就只能用別人搬到牆內來的咯，非官方渠道發布的，如何保證沒有被植入後門呢？況且官方的md5都看不到的情況下，如何驗證完整性呢？

上周末就暴露，人早以定位到。這個肯定是已經有公檢法介入了，這幾天他停止各種行為，發聲明，顯然知道自己逃不過，為後面爭取掉量刑寬鬆！

本人親身經歷了彈窗套取Apple ID賬號密碼，那個聲明避實就虛、避重就輕，信了就太輕信了。目前對該木馬的研究還不透徹，希望有實力的個人、組織，繼續研究。

你們覺得，這麼大的數據量，要申請什麼性能的Server？確定是普通的苦逼IOS成員玩得起？

我冒充開鎖公司來幫你換鎖，鎖換好了，我也順便在鎖孔里裝了一個攝像頭。以後你只要在這扇門附近活動，你吃什麼東西，說什麼話，看什麼片，甚至你跟你老婆以什麼姿勢啪啪，我都知道得一清二楚。過段時間你發現了攝像頭，我出來發表個聲明，澄清說這只是一個「錯誤的實驗」，呵呵，你信嗎？

建議大家看看今天的知乎日報，裡面大神的總結比我好多了

首先，對程序員來說，這個問題其實可大可小，可小是因為到目前為止，這個問題其實並沒有造成嚴重的後果。

而且，用這種方式其實是獲取不到icloud密碼的，並且如果app稍微有點安全意識連該app的密碼都獲取不到，至於冒充彈窗，app store的彈窗你是屏蔽不了的。。。除非你根本就沒觸發內購，只是偽裝個彈窗，而且，對於指紋識別照樣抓瞎。

可大，是因為這個方式提供了一種新的攻擊思路，iOS很難攻破，app store很難攻破，那我就從開發者下手啊，而且其實蘋果是無法分辨植入的代碼是程序猿主動寫的還是不知不覺被加進去的。可以斷定的是，今後不只是xcode，android studio之類的ide都會出現篡改的情況，麻煩的在於這種攻擊方式很難被察覺。

最後，對於這份聲明，很明顯就是作者在被發現後的補救措施，怕被公檢法制裁，至於結果如何，不知道

嗯。。。作為一個逗逼懶散的小站長說兩句。

首先數據本身毫無價值。但是你能想像經過分析的數據有多大價值嗎？

根據目前已知的信息來看。這個開發者掌握了大量的iOS安裝軟體信息。輕易地就可以做出來個排行榜，而且水分甚至可能比app store排行更為準確。

那麼這個信息賣給任何一家app開發商，敢問誰能抗拒如此真實到爆的市場信息？

簡單的說，統計一下全國範圍內所有iphone安裝最多的網路遊戲類型。這個事兒除了掌握作者這樣信息的人，誰敢說自己的數據比他的還真實？

的確在目前來看，沒有對最終用戶產生損失。但是人家玩兒的是大數據。說嚴重點，對於整個生態圈他具備了最高建議權。他掌握這些數據之後所說的話，沒人敢否定，也沒辦法否定。所以已經是利用漏洞牟利，而且是暴利。

鑒於其他答主對於域名，伺服器等問題的質疑，總結一下，這個「人」，有可能不是自然人，而是法人。是有組織的活動。

今天看到這個消息，業外人士說說自己觀點。

首先看到受影響的名單時，內心震驚了。

～～～

娛樂，生活，音樂，股票，銀行等等都受到影響。這麼大的信息量，可以收集這麼多用戶信息，而能止住內心的慾望不去做。真這樣的話，我很佩服。

但看到後面的微博道歉，又放心下來：哦～實驗嘛，沒什麼大不了的，沒危害。

晚上回來再看，又提出了質疑。被各種信息牽著走的感覺很不好，可還是產生懷疑。

這裡的懷疑，也算是一種思考。

為什麼連一些股票，銀行的應用開發者，使用的開發工具都有問題？無論這次的Xcode ghost是否真的有害。但用迅雷下載的文件有問題，這本身就是很恐怖的一件事情。迅雷這次又被啪啪啪了～

另外這件事也有好的一面：給開發者敲警鐘。你的環境不安全，代碼再好，也會出問題。

如今的互聯網急速發展，影響人類生活方方面面，安全顯得尤為重要。讓大家提高安全意識，也算是不幸中的進步吧。

我猜應該是這個樣子的：

作者本人做這個的動機我們不去猜測，但本來只是想玩玩，沒準以後能拿來做(zhuan)事(qian)呢？

然後東窗事發。嗯，先不不出聲，我就看看不說話。

不對啊，貌似影響有點大啊？不過反正我也沒幹啥壞事，這個時候站出來說不定還能在以後的簡歷上加上一筆呢，對沒錯當年那個XcodeGhost就是我做的。

……

2015年9月XX日，XX省警方破獲一起互聯網安全事件，犯罪嫌疑人……在家中被捕，同時搜出的還有用於製造惡意代碼的電腦和……

做的那麼嚴謹，又可以遠程執行代碼，信了就太單純了

==========

9.22更新，已正式遊戲引擎被同樣手段感染！你以為伺服器關了這事就結束了？

我就是進你家裡看看你買了啥傢具咋裝修，可能還會往你家床上放倆小廣告不過沒做，所以你就原諒我吧，而且你看被你發現前一個星期我就洗手不幹了是不？所以我這麼幹了大半年而且是裝成配鑰匙的拿到了你家門上鑰匙的事你就別管了好吧？

（此處應有唐國強老師傾情演出）

1.程序員該加強安全意識，哈希值我們都懂，用不用管不管是另一回事了，這點上開源界的猴要做得好很多

2.迅雷是怎麼校驗的？迅雷是怎麼公關的？實話說最喜歡看互聯網企業各種公關甩鍋了，你知道，就跟斗獸場一樣。

3.Apple（Apple:&< 冤枉臉..）好吧，不關Apple事，但是在賬號安全管理上可能可以做個小改動，對於自己官方的有關賬號安全隱私錢財等彈窗有個特殊的呈現形式，區別第三方App。畢竟有時侯點了下載東西什麼的，我就回到微信了，然後他又彈出來讓我輸密碼，我當然就輸入啦～

這次聽說會有彈窗騙取賬號，我也迷糊自己遇到沒有了，遇到了耶肯定沒印象。

順便說一句

Github自首的源碼不一定是真的。

4.用戶這次你也沒什麼錯，相信近來這麼多安全事件，你也應該學會要有點安全意識了。沒有哪個地方是絕對安全的，也沒有哪裡是絕對不安全的，安不安全看人自己，最主要的事要有這一個意識。

5.病毒製造者不是一個聲明公布一段代碼就可以抵消罪過的。最好的猜想是你是法盲，做這些真的只是為了實驗，那你也得付出法盲的代價。最差的猜想是你別有用心只是還沒實現那一步，那就更不用說了。反正不該只聽你一面之詞。

不從官方下載xcode的算不算是盜版？那麼那些開發者用著盜版還有臉面怪別人？

評論中各種給自己洗地的人好多啊，所以你們會中毒，懂了不？

好端端mac上有appstore，你們選擇百度雲store，迅雷store這些全球最大的盜版素材分發端，還怪網速，呵呵，一個xcode我用中國電信寬頻下載怎麼只要40分鐘就夠了？