如何看待 XcodeGhost 作者又投毒 unity3D？unity3D 被投毒會造成什麼影響？

01-12

你以為伺服器關了這事就結束了？

已有的事，後必再有。已行的事，後必再行。日光之下並無新事。豈有一件事人能指著說，這是新的。那知，在我們以前的世代，早已有了。已過的世代，無人記念，將來的世代，後來的人也不記念。《聖經》

海恩法則：每1起嚴重事故背後,必然有29次輕微事故和300起未遂先兆以及1000起隱患。

國內創業公司幾乎沒有一台正版電腦～蘋果開發用黑蘋果的也不在少數。用各種盜版開發軟體更是家常便飯【Dreamweaver，Fireworks，Muse，Rose，Microsoft Visio，Microsoft Project，Navicat，WebStorm，MyEclipse，以及部署在伺服器的各種環境，各種軟體，優化的，檢測的，統計的】。

開發更頭大的事是引入各種包/庫/插件/別人的代碼，其實根本沒有一個公司對所有代碼做代碼審查～花費精力太龐大了。

【遇到公司項目多，伺服器密碼，域名密碼，各種綁定api及相關申請賬號就能寫一個A4紙。苦不堪言。蘋果的上架賬號還要鄧白氏碼，各種折騰，沒有海外信用卡，公司信息早就被其他人獲取了（淘寶大把代辦，經常需要各種複印件~）】

當年C語言之父和同事開玩笑，說他可以自由進入任何系統，當時他真的辦到了。原因就是他對同事們的C編譯器被動了手腳，編譯的任何系統都為他留了後門。【也就是說為了絕對的安全你要懂彙編要自己寫個C編譯器然後，再寫系統內核，再寫驅動，當然cpu什麼的都要自己造，甚至為了安全你要寫一個自己的通信協議，因為你根本不知道哪裡有鬼，指令集，介面什麼統統重新來一遍。】

所謂陽光底下無新鮮事。幾十年來各種事都一直存在～不過有些被提到檯面而大部分沒有。安卓應用大部分被人反彙編，然後加入自己的廣告再提交應用市場的事貌似一直就沒斷過。某些應用市場自己就乾的不少。

現代複雜系統從本質上安全是不可控的。

因為一個鑰匙鏈的結實程度是最細的那個環確定的。

現操作系統0day不斷～驅動～硬體的問題都不是一般公司可控的【從底層就不安全】。

大公司的垃圾內部業務系統～你甚至不知道這些老軟體用了網上公開的多少代碼。

最恐怖的是他們的程序員電腦密碼設置的太簡單，git密碼也太簡單，打包密碼也很簡單，儘管設置的無比長，但是就貼在了桌上，有交叉項目的密碼口令就一堆，就寫在桌面上(miMa.md)，很多公司門禁的作用就是攔住快遞。於是真的有人要做什麼簡直了~

隱患多的不勝數，雖有（安全排查手冊）和（知識庫故障樹）但都是然並卵，這世界最脆弱的是人參與的環節~有多少公司都把測試變成了菜鳥乾的事。代碼審計，程序魯棒性，系統的軟體調試都成了浮雲~不知道還有沒有對自己app做sniffer抓包分析的~有沒有對著控制台和log文件一遍一遍過的~

在網上…想要活得自在那就匿名…

秦人不暇自哀，而後人哀之；後人哀之而不鑒之，亦使後人而復哀後人也。《阿房宮賦》

【整件事，提醒我們太simple，當我們看到電腦中彈起電信的廣告彈窗，已經忘記了那是路由器劫持，當我們忘了CNNIC的證書隱患，當我們忘了流出的各種資料庫，當我們忘了還有D的監視。我們使用所謂的智能路由器，讓他過濾廣告，讓他科學上網。我們有什麼臉說要安全。】

這一系列事件展現了一個新的攻擊路徑，即從生產工具或者生產原料的角度來進行產品特性攻擊。

這裡的問題不是底層編譯工具的問題，而是集成開發工具為了向開發者提供便利，一些處理細節被合理地隱藏了，所以出現了不太被常人關注的暗區，而只要有暗區就能夠藏東西。

拓展一下，如果我們不是從xcode出發，而是從mac的一個熱門工具出發，去修改本地xcode或者eclipse或者android studio的編譯配置和代碼模板，攻擊路徑依然是有效的。

我相信這只是一個攻擊實驗，實驗的結果是給更多的黑客打開了腦洞，真正的攻擊現在才開始。

這絕對會是全世界有史以來最大規模的攻擊事件了，何其高的借力打力。推測一下，他一定能青史留名。

等完結後寫篇文好了，標題叫《硅幕墜落》

一段不算長的代碼，一些篡改開發包的腳本（我不相信每一個版本都是手動改動的），一堆簡單的論壇下載集合貼，居然能搞得整個中國移動互聯網人人自危，這說明了什麼呢

牆又立功了

這算個P,國內大部分政府單位，大企業的大部分桌面辦公系統是來歷不明的Windows,大部分office是來歷不明的安裝包，大型企業大部分Oracle是盜版。甚至很多防火牆軟體，防病毒軟體都是盜版。真打起網路戰爭，民用系統秒級崩潰，中國信息系統回到原始社會（封建社會都回不去了，驛站和信鴿都沒有了）。

中國的企業沒吃過信息安全的大虧。無知無畏。一看到開源軟體就像撿了寶，可算撿到不要錢的了。中國電信居然自己組隊開發資料庫，真不知道他們顱骨裡面裝的是啥。如果這種企業級系統能隨便搞出來，哪還輪得到ORACLE壟斷？滿大街都是了。

用個windows，一不小心就變成百度windows，360windows，金山windows，騰訊windows。。。技術手段一個比一個流氓，百度插件連病毒技術都用上了。乾脆換蘋果，貴點認了，眼不見心不煩。說起來蘋果還真要感謝這些合作夥伴，沒有他們不遺餘力的往windows裝流氓管理軟體，估計買蘋果電腦的人還真沒那麼多。

這是維度攻擊

很多手遊說不定會中招。早就覺得這貨根本不是實驗。

用UE4不久沒問題了么？用自帶的工具獲取官方代碼，根本沒有植入病毒的可能性啊。

公安哪裡去了

看到有些人這時候在說公安，網監幹嘛去了

感覺真是怪諷刺的

Thanks The Great F*cking Wall

嗯，還有cocos2dx也中招了，大批量的手游等著看吧，據我所知是《我叫XX》《保衛蘿X》這些都在中招範圍

就說三個遊戲吧，你看看你們玩過沒，

神廟逃亡

爐石傳說

紀念碑谷

我還在擔心這是不是ZF的竊聽做法，現在出事了找了個臨時工在GitHub上發言。

進行維度打擊

花樣作死OR一盤大棋，現在還不明確，靜觀其變吧，連當事大廠都沒出頭。

以後會不會投毒 window linux甚至一些手機的安卓等操作系統或者一些如ps office等的軟體

這些東西中國基本沒幾個用正版的

就差visual studio了！vs你別跑！

預感：

1，蘋果，wp等等全世界的安全神話被打破，各種更加黑暗更加難以置信的事件被曝光。

2，信息安全等專業將會迎來春天；

3，現有的技術體系要麼在修修補補中徹底崩潰，要麼被全盤推翻，建立一套跨時代的體系。